CA2064204C - System for protecting documents or objects enclosed in a tamper-proof container - Google Patents

System for protecting documents or objects enclosed in a tamper-proof container Download PDF

Info

Publication number
CA2064204C
CA2064204C CA002064204A CA2064204A CA2064204C CA 2064204 C CA2064204 C CA 2064204C CA 002064204 A CA002064204 A CA 002064204A CA 2064204 A CA2064204 A CA 2064204A CA 2064204 C CA2064204 C CA 2064204C
Authority
CA
Canada
Prior art keywords
box
mode
authentication
transition
computer
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Lifetime
Application number
CA002064204A
Other languages
French (fr)
Other versions
CA2064204A1 (en
Inventor
Franklin Devaux
Marc Geoffroy
Christophe Genevois
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Oberthur Cash Protection SA
Original Assignee
Axytrans SA
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Axytrans SA filed Critical Axytrans SA
Publication of CA2064204A1 publication Critical patent/CA2064204A1/en
Application granted granted Critical
Publication of CA2064204C publication Critical patent/CA2064204C/en
Anticipated expiration legal-status Critical
Expired - Lifetime legal-status Critical Current

Links

Classifications

    • EFIXED CONSTRUCTIONS
    • E05LOCKS; KEYS; WINDOW OR DOOR FITTINGS; SAFES
    • E05GSAFES OR STRONG-ROOMS FOR VALUABLES; BANK PROTECTION DEVICES; SAFETY TRANSACTION PARTITIONS
    • E05G1/00Safes or strong-rooms for valuables
    • E05G1/14Safes or strong-rooms for valuables with means for masking or destroying the valuables, e.g. in case of theft
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07DHANDLING OF COINS OR VALUABLE PAPERS, e.g. TESTING, SORTING BY DENOMINATIONS, COUNTING, DISPENSING, CHANGING OR DEPOSITING
    • G07D11/00Devices accepting coins; Devices accepting, dispensing, sorting or counting valuable papers
    • G07D11/10Mechanical details
    • G07D11/12Containers for valuable papers
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07FCOIN-FREED OR LIKE APPARATUS
    • G07F9/00Details other than those peculiar to special kinds or types of apparatus
    • G07F9/06Coin boxes
    • EFIXED CONSTRUCTIONS
    • E05LOCKS; KEYS; WINDOW OR DOOR FITTINGS; SAFES
    • E05GSAFES OR STRONG-ROOMS FOR VALUABLES; BANK PROTECTION DEVICES; SAFETY TRANSACTION PARTITIONS
    • E05G1/00Safes or strong-rooms for valuables
    • E05G1/005Portable strong boxes, e.g. which may be fixed to a wall or the like

Landscapes

  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • Packages (AREA)
  • Financial Or Insurance-Related Operations Such As Payment And Settlement (AREA)
  • Details Of Rigid Or Semi-Rigid Containers (AREA)
  • Storage Device Security (AREA)
  • Cartons (AREA)
  • Burglar Alarm Systems (AREA)
  • Tires In General (AREA)
  • Purses, Travelling Bags, Baskets, Or Suitcases (AREA)
  • Lock And Its Accessories (AREA)
  • Auxiliary Devices For And Details Of Packaging Control (AREA)
  • Sorting Of Articles (AREA)
  • Facsimile Transmission Control (AREA)
  • Credit Cards Or The Like (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Abstract

The invention concerns a system for protecting documents or valuables, particularly articles such as bank notes, cheques or bank cards enclosed in at least one physically tamper-proof container, i.e a small box (1) which, in the event of being attacked, destroys them using suitable means, the system being characterised by the fact that the operating cycle of the small box (1) comprises a limited number of logical states, called modes, the transition from a first to a second mode being the consequence of a specific event, the licit nature of which is ascertained by a suitable and autonomous method able to be communicated to the small box (1), the transition then being accompanied by the small box's loss of memory of its previous mode. The present invention is particularly for use in the protection of documents or valuables, especially bank notes, cheques, bank cards, or even dangerous medicines (drugs) or those with a considerable added value. Protection is guaranteed both inside a bank (or chemist's, etc.) and during the transportation from the bank to another branch.

Description

SYSTEME DE PROTECTION DE DOCUMENTS OU D'OBJETS ENFERMES DANS
UN CONTENANT INVIOLABLE
La présente invention concerne un système de protection de documents ou d'objets de valeur, et notamment de moyens de paiement tels que des billets de banque, des chèques, ou des cartes bancaires, enfermés dans un contenant inviolable physiquement, qui passe par ailleurs par une succession d'ét:ats logiques authentifiés en nombre restreint.
Des systèmes conventionnels de protection de documents ou d'objets de valeur tels que des moyens de paiement sont de nos jours bien connus et s'inspirent la plupart, dans une large mesure, du principe du coffre à parois renforcées, d'accès réservé aux seuls détenteurs d'une clef, à support matériel ou immatériel (tel un code), ce coffre se trouvant par ailleurs dans un environnement contrôlé et sécurisé par exemple au moyen de divers blindages.
Une alternative à ces dispositifs conventionnels souvent lourds et encoiabrants est proposée dans divers brevets français au nom du Demandeur. Dans le brevet FR-A SYSTEM FOR PROTECTING DOCUMENTS OR OBJECTS CONTAINED IN
AN INVIOLABLE CONTAINER
The present invention relates to a protection system documents or valuables, including means of payment such as bank notes, checks, or bank cards, enclosed in an inviolable container physically, which also goes through a succession of logical states authenticated in limited number.
Conventional document protection systems or valuables such as means of payment are nowadays well known and most of them are inspired by large measure, of the principle of the reinforced walls chest, of access reserved for the only holders of a key, with support tangible or intangible (such as a code), this safe being also in an environment controlled and secured by example using various shields.
An alternative to these conventional devices often heavy and bulky is offered in various French patents in the name of the Applicant. In the FR-A patent

2 550 364, les documents ou objets de valeur à protéger, appelés fonds par la suite, sont enfermés dans une caissette, dont on contrôle l'état physique par l'intermédiaire de capteurs fournissant en permanence des signaux, qui doivent étre conformes aux signaux résultant d'un processus obligatoire et inéluctable, sous peine de provoquer la destruction ou le marquage de la caissette et desdits fonds.
Le dispositif de dégradation utilisé à cet effet peut étre, par exemple, celui décrit dans le brevet FR-A-2 574 845 au nom du Demandeur.
Dans le cas du transport d'objets de valeur, par exemple de méàicaments dangereux (drogues, poisons) ou à
forte valeur ajoutée, le dispositif de dégradation est sensiblement différent ; l'homme de l'art connais, â ce tige, las moyens connus et specifiques à utiliser.
L'objet des brevets précités consiste à rendre inutilisables, ou à détruire, en cas d'agression, les fonds contenus dans une caissette et dont la valeur fiduciaire imoortanLe est trés intérieure a leur valeur réelle (ce qui ri est le cas des billets, des cartes et des chèques) ; la convoitisé de ces fonds devient ainsi inefficace, ceux-ci étant détruits avant qu'on puissé les atteindre.
Les capteurs associés à ces systèmes et qui permettent notamment de détecter les agressions physiques sur la caissette peuvent être de structure très légêre, contrairement aux blindages traditionnels ; un tel capteur d'intégrité de paroi est par exemple décrit dans le brevét français l'R-A-2 615 987 au nom du Demandeur.
Un certain nombre d'inconvénients liés aux systèmes de protection proposés par ces brevets demeurent cependant sans reméde, et mettent en jeu la fiabilité même d'une protection que l'on veut parfaite, aussi bien lorsque la caissette contenant les fonds à protéger est mobile, que lorsqu'elle est immobile, et surtout lors des transactions nécessairement liées aux changements d'états de la caissette, tels que par exemple son enlèvement, sa livraison, son ouverture ou sa fermeture.
En effet, conformément au brevet FR-A-2 550 364, la protectidn d'une caissette est intrinsèquement liée à la protectic4n des autres caissettes que transporte .le fourgon où elles ont été placées ; les caissettes sont en l'espèce ,protëgées collectivement, gràce notamment à l'existence d~' un dia"~ogue secret et permanent, circulant entre elles , dont l'interruption non prévue provoque la dégradation des fonds à protéger. Un tel dispositif pose des problèmes de gestion de ce dialogue difficiles à résoudre, et la complexité ainsi mise en oeuvre conduit à des solutions coûteuses, lentes ou peu fiables.
Par ailleurs, il s'avère qu'une protection individuelle des caissettes est réalisable, et en l'occurrence préférable, puisqu'on bénéficie alors d'un système de protection souple, permettant par exemple d'éviter la destruction d'un grand ensemble de fonds contenus dans des caissettes différentes alors qu'une seule d'entre elles est en panne ou est agressée.
~n out=e, en cas de destruction d'une caissette et des fonds quo y sont contenus, les systémes de protection décri ts ne permet:.ent pas de déter:~iner l es perscnnes ~'EUi~.LE DE REI~II~LACEMEN'T

a~ 3 responsables de l'agression ayant causée cette destruction ; en effet, lors de sa destruction, il est souhaitable, et même nécessaire, que la caissette marque, ou détruise, non seulement les fonds, mais efface également toutes les informations ayant un caractère confidentiel et dont elle a besoin pour son correct fonctionnement .
'algorithmes de surveillance de ses états physiques, algorithmes de codage et de décodage des messages échangés avec l'extérieur, nature et contenu de ces messages tels que codes secrets, destinations et destinataires des fonds transportés.
La destruction de toutes ces informations rend impossible l'identification sûre du dernier manipulant d'une caissette détruite, qui peut aussi bien étre un agresseur extérieur au système, qu'un agent chargé de la manutention ou du transport des caissettes voulant détourner les fonds à son profit, ou encore d'autres personnes autorisées à divers titres à les approcher, ou à
les ouvrir "in fine".
Un autre inconvénient majeur du système décrit dans le brevet FR-A-2 550 364 réside, paradoxalement, dans l'inexorabilité stricte du processus gouvernant ."l'histoire" d'une caissette pendant son transport. En effet, tout événement nvn prévu est considéré comme une agression par une caissette et conduit à sa destruction ;
il n'y a donc aucune possibilité de gradation dans la réponse fournie par la caissette à un événement imprévu.
Par exemple, en cas d'embouteillage des voies de transport par lesquelles doit passer le fourgon transportant des caissettes, le retard dans leur livraison, induit par cet embouteillage, mène inexorablement à leur destruction, ce qui peut s'avérer étre une coûteuse erreur économique et conduire un client, dont on transporte les fends, contester la ~iabilité du système.
Cn ne peut pas, de manière immédiate, rnmédinr ~ cet inconvé.~.ient car l' inexorabilité de certai.~.es p'tlases du processus de transpcrt décrit dans ce bre~.~et est impérative vis ~ vis de '_a sécurité.
_E~IJ~~.~ ~ ~~~~~~' WO 91 /01428 p~ /FR9p/ppg3g ~, I~ ~, ~ ~G 4 On aura bien compris, par la lecture qui précède, que 1'utilisa~ion d'un unique centre de décision, la caissette, pour gérer la sécurité complète des fonds à protéger et;la sécurité du transport lui-même, mëne à des impasses incontournables.
La demande de brevet française 86-O1 849 au nom du Demandeur, constitue ,à ce titre un perfectionnement du brevet FR-A-2 550 364 ; les caissettes sont considérées comme étant dans un véhicule fixe, et servent alors de compartiments bancaires. Leur protection est toujours collective, avec les inconvénients précédemment soulevés,.
mais l'accès à la chambre forte où sont entreposées les caissettes est contrôlé de l'extérieur par un ordinateur pouvant entrer en relation avec un boitier électronique, 15: affecté ~ la surveillance de ladite chambre forte, et dialoguant également de manière secrète et permanente avec l'ensemble des caissettes. La communication de chacune de ces cai~sette~ avec l'ordinateur extérieur devient possible ; ce dernier est alors capable de générer le processus inéxorable réglant "l'histoire" d'une caissette et d'en contr3ler l'initiation, qui s'effectue après diverses vérifications, dont celles de codes secrets détenus par les personnes ayant valablement accès aux 'caissettes (telles un banquier, ou un'client).
Le, système décrit dans ce dernier document possède encore des inconvénients notables, et il est en particulier possible'~de concevoir un ordinateur pirate, appelé clone par la suite, et remplissant les mêmes fonctions que l'ordinateur d'origine ; la sécurité des fonds enfermés dans les caissettes n'est donc pas totalement assurée, car il n'est prévu aucun moyen pour permettre aux caissettes de reconnaitre sûrement l'ordinateur superviseur, et réciDrccuement.
' On remarçuera d'ailleurs, à la lecture de la demande de brevet précitée, que la source d'inter:~ations communiquant les données du processus aux divers éléments électronivues de l'ensemble n'est pas nécessairement unique, ce qui constitue un risque vis 3 vis de la confidentialité de ces données ; la redondance des FEU~LLLE DE R~EMl~4A~CEMEI~T
., ~ .,a . _ _ .w .....4.~.~_~..~_ . .~. .,. . _ ~t~~"'s informations, inexistante dans le brevet FR-A-2 550 364, devient ici trop importante.
L'invention vise à améliorer de manière décisive les différents systèmes connus, en proposant un système de protection de documents ou d'objets de valeur, et notamment de moyens de paiement tels que des billets de banque, des chèques, ou des cartes bancaires, enfermés dans au moins un contenant inviolable physiquement, appelé caissette, qui, en cas d'agression, provoque leur dégradation par des moyens appropriés, ce système étant caractérisé en ce que le cycle de fonctionnement d'une caissette comporte un nombre restreint d'états logiques, la transition d'un premier état logique à un second état logique étant la conséquence d'un événement ponctuel, dont on vérifie la licéité par un moyen adéquat et autonome pouvant se mettre en relation avec la caissette, ladite transition s'accompagnant alors de la perte de mémoire, par la caissette, de son état logique antérieur.
L'un des objectifs de la présente invention est ainsi de faire correspondre un état logique, appelé mode, à
chaque situation dans laquelle peut se retrôuver une caissette, ce mode étant délimité explicitement par deux bôrnes de nature purement conceptuélle, ce qui permet d'organiser avec rigueur et fiabilité le cycle de fonctionnement de ladite caissette ; les systèmes connus à
ce jour ne connaissaient quant à eux que deux bornes imp:Licites, soit "la transition entre caissette mobile et caissette fixe" et réciproquement.
La présente invention procure la souplesse nécessaire à une gestion plus intelligente de la protection fournie par les caissettes. Mais il est alors essentiel qu'à chaque étape du processud de protection, qu'à chaque transition entre deux états logiques, la caissette ne conserve àûcune trace de son état logique antérieur ; on sait déà que cette trace est inutile ; on comprend également que cette trace est dangereuse, puisqu'il est vital, pOUr la sécurité
du systéme, .que des messages confidentiels tels aue des ccdos ne puissent pas étre lus, s'ils ne sont pas d~~truits Fn'.u~E.~~ ~:. ~G~r~~i..~vEw~¿~ii~'~

WO 91 /01428 PGT/fR90/OD538 s ~~'~~
entièrement en cas d'agression. On comprendra enfin, grâce à ce qui suit, que cette trace ne peut pas exister.
En effet, cette absence de mémoire du mode précédent est fondamentale pour la sécurité du systêine, puisque deux modes extrêmes peuvent étre reliés .
- sait directement grâce à un premier événement, prévu à cet effet, et qui provoque une transition entre ces deux modes, - soit indirectement, par transitions préalables dans d'autresmodes, dues à d'autres événements prévus et autorisés.
Si la caissette conservait la mémoire de son mode antérieur, c'est-à-dire si on acceptait qu'elle puisse s'en servir, il serait alors possible d'invalider une transition préalablement acceptée par la caissette, entre un premier mode et un second mode ; un nouvel événement pourrait en effet provoquer une transition du premier mode vers un troisième mode, sans que, par ailleurs, il ait été prévu d'autoriser une transition du second mode vers ce troisième mode ; le système deviendrait par conséquent "ingérable°.
En proposant d'organiser le fonctionnement d'une caissette, en un cycle comportant un nombre limité d'états logiques, ou modes, cette caissette possédant par ailleurs peur seule mémoire son propre mode, ~la présente invention procure uin moyen fiable et sür de définir divers cycles de fonctionnement, qui correspondent à de nombreux cas inaccessibles aux systèmes connus jusqu'à aujourd'hui, pour lesquels une seule "histoire" peut exister entre la fermeture et l'ouverture d'une caissette.
Ce fonctionnement particulier d'une caissette, par transitions entCre des états logiques existant en nombre limité, est à rapprocher du fonctionnement des machines connues par ailleurs sous le nom de "machines à modes licités " .
La rigueur d'une telle organisation se traduit, pour le système de protection conforme â l'invention, par une intell_ç~nce supplémentaire rendant en quelque sorte "inviolable logiquement° les caissettes et le syst~me dans son ensemble.
FE~J111~ ~~ t~jt3a~l~C~~,~'~NT

..
On peut à ce titre effectuer une véritable analogie entre le système de l'invention et les systèmes développés à l'heure actuelle en reconnaissance des formes, et notamment dans le domaine de l'intelligence artificielle ;
"l'intelligence" de ces systèmes, c'est-à-dire leur capacité de déduction à partir d'informations quelquefois incomplètes, résulte, non pas d'informations explicitement formulées et stockées dans des mémoires par exemple électroniques, mais de l'organisation, de la forme, organisant la circulation et l'échange d'informations.
"L'information circulante" du système conforme à
l'invention est la responsabilité attachée à la protection des fonds contenus dans une caissette ; la transmission effective et contrôlée de cette~responsabilité est rendue possible par l'organisation en machine à modes limités de la caissette et constitue l'apport principal de ce système.
On aboutit de cette façon à un partage de la responsabilité qui est transférée, dans un sens ou dans l'autre sens, entre, d'une part, les utilisateurs des caissettes, d'autre part, un moyen pouvant se mettre en relation avec elles, et enfin, les caissettes.
Une caissette n'est totalement responsable~des fonds qui y sont enfermés que durant son transport (par les m6yens connus dont on a parlé).
I1 est à noter enfin que la responsabilité n' est pas transférée à chaque transition d'un mode à un autre mode, mais seulement lorsque cela est nécessaire pour la sécurité
du système.
D'autres caractéristiques et avantages du système selon l'invention ressortiront mieux de la description qui va suivre d'une réalisation particulière non limitative donnée à titre d'illustrations de ce système, en référence au.dess~.n annexé sur lequel .
- la figure 1 est un schéma synoptique d~
l'organisation en réseau du système selon l'invention.
- la f~gu~e 2 est un diagramme de représentation du concept de trar.siti~:ité des authentifications.
- la f=Bure 3 est un ordincgramme logiçue des transitons passibles et prévues entre les mcdes de ~'ÉUILLE DE RE~IPLACEMEI1~T

s fonctionnement du système, suivant une variante particulière de l'invention.
Conformément à la figure 1, le système suivant l'invention est utilisé pour la protection de fonds qui ont été places dans une caissette 1 par le responsable d'une agence bancaire, appelé par la suite expéditeur 2. La caissettes 1 doit étre transportée par un convoyeur 3 vers, par exemple, une succursale de cette agence bancaire.
Dans une des variantes préférées de l'invention, le moyen pouvant se mettre en relation avec les caissettes pour réaliser le transfert de la responsabilité est constitué par un ordinateur unique 4.
Cet ordinateur 4 possède un r8le de superviseur et gère la sécurité logique des caissettes 1, c'est-à-dire vérifie ~la licéité des transitions de certains modes de fonctionnement de celles-ci vers certains autres modes.
Lors de ces transitions particulières, il se produit une exténsion, ou un rétrécissement, du slrstème de protection selon l'invention, et on peut citer trois cas très explicites a)'lors d'un transport, la protection des fonds ne peut étré assurée que par la caissette 1 les contenant . le système comprend alors uniquement la caissette 1.
b) à la fin d'un transport, au moment de la livraison, seule une source d'informations extérieure à la caissette 1 peut provoquer l'interruption du mode dans lequel elle a ëté placée au début de son transport, et qui constitue sa seule mémoire . 1e système doit alors étre étendu à la source d'informations extérieure - c'est-à-dire l'ordinateur 4 - qui doit, préalablement à cette extension, ètre reconnue) comme un partenaire fiable et sûr par la caisset~e.
c) après la livraison, la protection àes zonas enfermés dans la caissette 1 est encore totale, car son ouverture nécessite l'extension du systëme à une deuxi~?me source ~'infornations extérieure - l'utilisateur du ces fonds bau sens large . destinataire, expéditeur 2, convoyeur 3) - qui doit, à son tour, ètrn reconnue comma un _FEUILI.E DE REi~iPi..6~CEMENT

~ i ~ ,~ ~ (~. f~ ~ ~ 9 partenaire fiable et sûr par la caissette 1 et l'ordinateur 4.
I1 existe ainsi trois types de modes pour une caissette 1 - en fait pour le systëme dans son ensemble, mais seule la caissette 1 participe à l'ensemble de la protection puisque c'est elle qui, en fin de compte, permet de supprimer la convoitise des tiers - selon qu'elle est considérée comme étant mobile et fermée, conformément au cas a), selon qu'elle est iamiobile et fermée, conformément au cas b), et enfin selon qu'elle est immobile et ouverte, conformément au cas c).
Les transitions entre ces trois types de modes décadent du transfert de la responsabilité attachée à 1a protection des fonds, qu'ils soient ou non enfermés dans une caissette 1 (avant leur expédition, ces fonds sont librement placés par l'expéditeur 2 dans la caissette 1, et jusqu'à la confirmation de leur prise en charge par le systëme, cet expéditeur 2 en est responsable).
La mobilité de la caissette 1 est, par conséquent, un attribut purement logique du système, qui va au-delà de sa mobilité physique véritable, mais bien entendu la recouvre sans paradoxe. Cet avantage considérable du système est l'une des conséquences les plus inattendues de ~1~'organisation en machine à modes 'limités de la partie physiquement mobile de celui-ci . la caissette 1.
On peut comparer, à ce titre, le système selon l'invention à un réseau informatique où un "jeton", symbolisant la détention du pouvoir de décision, peut ètre échangé entre les bornes du réseau ; la borne détentrice du "jeton" peut choisir, en outre, de transférer celui-ci, ce transfert s'accompagnant donc de la perte ou du partage du pouvoir. Le "jeton" transféré dans le système de l'invention est constitué, on l'aura compris, par la responsabilité attachée à la protection des fonds enfé ~nés, ou non, dans une caissette 1.
Par ailleurs, un avantage inattendu de l'utilisation, suivant l'invention, d'un unique ordinateur ~ super-:isant le système, est de limiter la redondance des info mations nécessaires à la gestion süre de celui-ci, c'est-d-dire FEUILLE DE REMPL..~~'E~'~E~~

WO 91/01428 PGT/FR90/00g38 ~"~ ~ d~b ~~ C ~ 10 leur transfert éventuel. Si un deuxième ordinateur de~Tait exister - on pourrait par exemple placer un ordinateur au lieu de départ d'une caissette, et un autre ordinateur ~
son lieu d'arrivée, ce qui est le cas notamment du système décrit dans la demande de brevet française 86-O1 849 - il serait impératif d'intégrer ce second ordinateur d'une façon fiable au système :caissette/pr~emier ordinateur: pour qu'il devienne un système :caissette/premier ordinateur/deuxième ordinateur: ;
l'intégra-tion fiable du destinataire des fonds enfermés dans la caissette 1 deviendrait alors. possible, par l'intermédiaire de ce second ordinateur. Or, l'étape d'intégration du second ordinateur n'est pas nécessaire car elle ne' procure ni simplification (au contraire), ni sécurité complémentaire, le destinataire des fonds pouvant âtre intégré directement par le premier ordinateur.
On doit enfin remarquer gue les caissettes 1 sont totalement indépendantes les unes des autres et que chaque système :caissette/ordinateur/utilisateur: doit âtre considéré comme un réseau particulier, mène si l'ordinateur 4 superviseur peut âtre le méme pour toutes les~caissettes 1. I1 est ainsi bon de rappeler qu'il n'existe aucun ~dïalogue circulant en permanence entie les caissettes 1, ce qui cons''titue un avantage notable vis à vis du système décrit dans le brevet FR-A-2 550 364.
Il existe uniquement, suivant l'invention, une série de dialogues ponctuels. Pendant ces dialogues, les messages échangés~ne doivent néanmoins pas mettre en jeu la sécurité
du systèae ; c'est pourquoi les liaisons établies entre les parties dont partie intégrante du système, leur défaillance éventue?le étant considérée comme une agression.
Ces liaisons peuvent posséder un support matériel, dont la nature est plus facilement protégeable, par exemple au moyen de blindages. On comprendra malgr6 tout ç~r la suite qu'il peut être remédier avantageusemen:. au:c problèTe~s de confidentialité sans avoir recours ,1 ces blindages physiques.
Sui~:ant une caractéristique complémec:ta~~~ de l'inve.~.t_on, et conformément ~ la figure 1, 1«s çuat=e ;~ é'~ .'~ I1 parties caissette 1, ordinateur 4, expéditeur 2, et convoyeur 3, peuvent étre reliées à une borne unique, appelée station 5 par la suite, pour constituer un réseau en étoile dont ladite station 5 est le centre.
I1 existe de cette façon une première station 5 au lieu de départ d'une caissette 1, et une autre station 5 à
son lieu d'arrivée. Cette multiplicité de stations 5 n'entache cependant en rien la sécurité du système, car, selon une caractéristique très .importante de l'invention, le "jeton", qui symbolise la responsabilité vis à vis de la protection des fonds, n'est jamais transmis auxdites stations 5, qui ne constituent par conséquent que des points de passage des informations confidentielles a priori vitales pour la sécurité du système.
L'utilisation d'un réseau en étoile procure nombre d'avantages bien connus.
En particulier, un message échangé entre deux parties intégrantes d'un réseau en étoile ne transite pas par les autres parties comme, par exemple, dans un anneau : on peut alors parler d'une confidentialité structurelle de ce type de réseau.
Par ailleurs, pour pouvoir dialoguer, chacune des parties du système possède une interface électronique qui ~dôit gérer des échanges quélquefois complexes.
L'utilisation d'une station 5, pouvant relier, conformément à l'invention, toutes les parties entre elles, permet avantageusement; et de manière inattendue, de simplifier et d'alléger lesdites interfaces.
Par exemple, il n'est pas utile de transporter avec la caissette 1 des moyens de mise en communication évolués, nécessitant une électronique lourde. De méme, la liaison d'un ut~.lisateur (expéditeur 2, convoyeur 3) avec les autres parties du système doit rester simple.
La station 5 possède à cet effet toutes les interfaces électroniques lourdes, et il reste ~ la caissette 1 et à l'utilisateur à gérer uniquement un dialogue élémentaire de connexion avec ladite staticn 5.
I1 est à noter que l'ordinateur ~ peu;., quant ~ lui, gérer des échanges plus complexes, et qu'~1 gis:. par FEUILLE DE REt~'~~'LAC~~=~1'C

WO 91/01428 , ~~ ~ ~ PCT/FR90/00538 ailleurs avantageux, suivant l'invention, d'en faire un centre serveur situé à distance de toutes les stations 5, de tous les utilisateurs, et de de toutes les caissettes 1, ce qui permet de le protéger efficacement, par la méme occasion, d'éventuelles agressions, aussi bien logiques que physiques.
S'il est désormais acquis que le système suivant l'invention prësente, en toutes ses caractéristiques, une structure fonctionnelle potentiellement confidentielle, cette confidentialité doit s'appuyer sus la certitude que les parties intégrantes du système, ou intégrées au système, sont oelles qu'elles prétendent être.
Suivant alors une caractéristique complémentaire du système conforme à l'invention , les communications entre deux parties du système s'effectuent selon un protocole permettant à la partie recevant un message d'authentifier la partie qui est sensée l'avoir émis, cette authentification s'accompagnant éventuellement de l'envoi d'un message de bonne réception à ladite partie émettrice.
Selon l'invention, certaines authentifications sont effectuées dans les deux sens car il est nécessaire, par exemple, qu'une caissette 1 soit sür que ~1'ordinateur 4 n'est pas un ordinateur clone, et que réciproquement, ~l''ordinateu= 4 soit sflr que ladite caissette 1 n'est pas une causette clone . on parle alors d'authentification mutuelle des parties. De méme, une station 5, sur laquelle est connectée une caissette 1, est authentifiée, ce qui interdit l'existence de stations clones.
On notera que l'authentification du système par un utilisateur (expéditeur 2, convoyeur 3) de celui-ci est implicite ; en l'espèce, il ne sera procédé qu'à une authenti~ication simple de cet utilisateur, que ce soit par une causette 1, l'ordinateur 4, et éventuellement, au passage, par la station 5 où est connectée ladite caissette 1 (cette station 5 ne possèdera de toute façon aucsn moyen d'intéQ_rer l'utilisateur au systéme ; il s'agit uniquement d'une facilité et d'une sécurité supplémentaire visant ù
rejeter, dés le premier abord, un ut::lisateur illicite).
FEUILLE DE REMPLACEMENT

Grâce à la structure logique des caissettes 1 organisées en machines à modes limités, et à l'architecture physique et fonctionnelle des liaisons existant entre les diverses parties du système, cette authentification mutuelle des parties peut être gérée strictement, et procure une souplesse inattendue dans la gestion de la protection des fonds, enfermés, ou non, dans une caissette 1.
En effet, on peut pratiquement en toutes circonstances interrompre une phase de la protection des fonds, sans pour autant la remettre en cause ; ces interruptions, qui nécessitent l'intégration au système d'une partie fiable nouvelle (mise au courant de la "circonstance" conduisant, par exemple, à un détournement de transport), et donc la transition d'un type de mode vers un autre type de mode, imposent obligatoirement une authentification mutuelle des parties. Les retards de transport "normaux", les embouteillages, les pannes, peuvent enfin trouver une solution autre que la destruction pure et simple des fonds contenus dans une caissette 1.
Les moyens conventionnels de cette authentification sont nombreux, et de nature, pour la plupart, informatique.
On peut ainsi effectuer une analogie exacte des principes sécurisant le système conforme à l'invention avec les principes sécurisant une carte à mémoire ; notamment, on peut considérer la caissette 1, qui est inviolable physiquement et logiquement, comme étant une véritable carte à mémoire.
Les mesures à prendre pour la sécurité d'une caissette 1, et pour la sécurité des transactions auxquelles elle participe, sont alors bien connues, et visent à éliminer, d'une part, les menaces contre la confidentialité des messages échangés entre deux parties intégrantes du système, dont par exemple la caissette, et d'autre part, les menaces contre l'intégrité de ces messages (altération volontaire ou non de leur contenu).
Une ore~~ière mesure éli..~tinant les menaces contre la confiàentia 1 '_ té consiste à c :...; f fret les messages échangés , FEUILLE DE REMPLA~EI~JIEI~iT

et on connait pour ce faire de nombreur. procédés cryptographiques.
Suivant l'invention, il a été choisi d'utiliser l'algorithme de chiffrement de type symétrique connu sous le nom de DES (de l'anglais Data Encryption Standard), dont les caractéristiques sont normalisées, et que l'on peut consulter par exemple dans l~ publication référencée FIPS
PUB 46 (Federal Information Processing Standards Publication 46). Dans cet algorithme, un couple :caissette 1/ordinateur 4: (par exemple) possède une clef K ; cette clef K est placée dans une mémoire de la caissette 1 où
elle est physiquement protégée, tandis que l'ordinateur 4 mémorise, suivant la variante préférée de l'invention, les clefs K partagées avec toutes les caissettes 1.
Cette variante, peu économe en mémoire pour l'ordinateur 4, est préférable à celle conduisant à prendre une seule clef pour toutes les caissettes 1, car il pourrait advenir qu'une caissette 1 agressée ne détruise pas complètement la clef qui y est" inscrite, permettant sa récupération, et le vol légal du contenu des autres caissettes 1 par constitution d'un clone -. Malgré le fait que l'algorithme DES est un algorithme public;' seule la connaissance de la clef K permet de déchiffrer un message ' chïffré avec celle-ci ; il s'agit donc d'une authentification en soi du message, qui peut être considérée comme suffisante pour le fonctionnement du système'.. Cependant, un brouillage dudit message sur la ligne de communication n'est pas détecté . il s'avère donc préférable d'authentifier le message avant de le déchiffrer.
Une mesure visant à éliminer les menaces contre l'intégrité des messages consiste à signer ces messages ;
une signature est envoyée en méme temps que le message, et sa vérification par la partie destinàtaire sert à
authentifier le message et son auteur.
I1 convient de bien noter que cette signature n'a rien à voir avec le "jeton" s~~mbolisant, suivant l'invention, le transfert de responsabilité attachéA d la protec~ion des fonds enfe r.~.és ou non dans une csi~seL~~ i ;
UtL~E DE REi~t~.LACEM"ENT

ce "jeton" est un message comme un autre, et il n'est pas forcément transmis au cours d'une authentification (par exemple il n'est jamais transmis à une station 5, qui pourtant doit étre authentifiée par ses partenaires, 5 directement ou indirectement). La signature est une preuve et la prise en compte des messages n'est possible qu'après vérification de cette preuve.
Suivant une caractéristique complémentaire de l'invention, cette signature, ou preuve, est calculée sur 10 les paramètres de la transaction, c'est-à-dire le contenu des messages, suivant un algorithme semblable à
' l'algorithme DES de chiffrement, ce qui procure l'avantage notable de simplifier l'élaboration des messages échangés entre les parties du système. Les clefs de chiffrement et 15 d'authentification sont différentes, ce qui augmente encore la sécurité cryptographique.
Par ailleurs, il devient avantageux d'intégrer dans un méme circuit électronique, appelé "puce DES", l'algorithme, de chiffrement et d'authentification des messages, et de pouvoir placer un tel circuit électronique à l'intérieur de chacune des caissettes 1. L'utilisation d'une "puce DES" permet notamment d'y mémoriser toutes les ,clefs et de procéder plus facilement,à sa destruction en cas d'agression. En outre, un microprocesseur gère l'ensemble de l'électronique d'une caissette 1, et une implantation logicielle de l'algorithme DES dans ce microprocesseur tiendrait une place beaucoup trop importante en mémoire.
La "puce DES" procède donc à la fois au chiffrement du message et à la constitution de la signature sur ce message.
I1 con~~~ient néanmoins de noter que le chiffrement n'est pas une opération obligatoire, car la connaissance par un tiers du contenu des messages, par exemple les instructions de changement de modes ou les gar3métres d'un transport, ne met pas en cause la sécurité du système ;
seule' l'authentification fournie par la sian3ture c~nstruite sui ces messages compte, et il nn serait donc pas possiblz de tre:açer l'électronioue d'une caissette avec FEUt~LE DE REMPLACEMENT

.~ , 3 ~ll~ i.~ ~ ~~ ~ 5 .
un faux message en clair non authentifié. Le. chiffrement est une précaution visant pour l'essentiel à rassurer les utilisateurs sur les capacités de confidentialité du système.
Part ailleurs,. certains codes secrets peuvent transiter entre deux parties du système ; le chiffrement devient dors nécessaire pour protéger ces codes.
Les stations 5 possèdent également une "puce DES", protégée physiquement, et contenant des clefs de chiffrement et d'authentification des messages qu'elle transmet vers l'ordinateur 4 superviseur. On notera que ces clefs sont différentes des clefs utilisées par les caissettes 1. Un message à destination de l'ordinateur 4, provenant d'une caissette 1, est. de cette façon doublement chiffré et authentifié . par la caissette 1 avec un premier couple de clefs, et par la station 5 avec un second couple de clef s .
Suivant la variante préférée l'invention, il a été
choisi txn algorithme de chiffrement symétrique, c'est-à
dire un'algorithme pour lequel la mime clef est utilisée par les deux parties. Cet algorithme convient parfaitement pour les transactions qui sont établies entre une. caissette 1, une station 5 et l'ordinateur 4 superviseur, puisqu'il .peuvent âtre munis de circuits électroniques utilisés à cet effet s$ns aucun problème. Comme on l'a dit, la clef de chiffre~hent est différente de la clef serrant à élaborer la signature, avec pratiquement le méme algorithme. Cela signifie q~le pour authentifier toutes les autres parties, chaque partie du système doit partager avec ces autres un couple de clefs unique. En particulier, chaque caissette 1 doit pouvoir authentifier chacune des stations 5 auxa_uelles elle se connecte, chaque station 5 devant quant ~ elle authentifier chaque caissette 1 ; le nombre de clefs à
mémor_ser dans de telles conditions devient ' vite p.lét:~ori.que et il a été choisi, suivant une variante préfërentielle de l'invention, de procéder indirectement aux authent_ficativns entre notamment les caissettes 1 et les stations S.
~~EU1LLE DE REMPLACEMENT

Conformément à la figure 2, l'authentification indirecte est possible par transitivité, c'est-à-dire que si deux parties A et B se sont authentifiés mutuellement, et si la partie A et une partie C se sont également authentifier mutuellement, alors les parties B et C
s'authentifie mutuellement par l'intermédiaire de A, puisqu'il est un partenaire fiable de toutes les parties.
Suivant la variante préférentielle de l'invention, l'ordinateur 4 superviseur joue le rale de la partie A, les caissettes 1, les stations 4, et les utilisateurs jouant le rôle des parties B ou C. Seul l'ordinateur 4 connait toutes les clefs. Les autres parties ne partagent, quant à elles, qu'une unique clef avec cet ordinateur 4.
Cet avantage considérable possède une contrepartie qui peut paraître lourde. En effet, chaque fois que deux parties du système dialoguent, il est nécessaire que ces parties établissent directement une connexion avec l'ordinateur 4 afin, tout d'abord, de s'authentifier mutuellement avec lui, puis de s'assurer que l'autre partie est déjà authentifiée. ..
L'ordinateur 4 devient néanmoins, dans ce.cas, un intermédiaire obligatoire des transactions, et peut, de .façon inattendue, en mémoriser l'historique. L'ordinateur 4 est par conséquent la mémoire insoupçonnable du système.
L'authentification des utilisateurs du système demeure, suivant l'invention, un cas particulier qu'il convient de noter.
Dans une première variante, chaque utilisateur possède un code secret lui permettant d'accéder au système.
Ce coàe est connu de l'ordinateur 4 superviseur, qui le transmet, parfois, à une caissette 1 lorsque celle-ci se trouve dans un mode où sa connaissance lui est nécessaire.
La station 5 reliant les parties peut éventuellement conna~tre également ce code, de manière à ne pas autoriser une connexion de l'utilisateur à l'ordinateur 5 sans une vérification préalable. I1 est donc évident que ce code transite entre les parties. Cependant, pour ve pas te..:.,ett_~ ca Lecture aise rnr un tiers, branchC pur le résea~.: '-audul eusement, ce code peut ètre c::i_'_'rè le:-~ de t=EUILLE:DE REMPLACEMENT

la son transit par la station 5, notamment au moyen de l'algorithme préférentiellement utilisé dans l'invention.
Une autre procédure consiste à utiliser une fonction unilatérale f pour protéger ce code. Une fonction unilatérale f est une fonction dont il est très difficile de calculer l'inverse (la fonction puissance par exemple).
Si a est un code,.seul b=f(a) est connu de la station 5 ou de la caissette 1 ; la connaissance de b ne permettant pas de retrotwer a, le code a est protégé. Si l'utilisateur rentre le code ç, la station 4 ou la caissette 1 calculent d=f(ç) et comparent d et b ; si d=b, alors ç est égal sûrement à a. Suivant l'invention, une fonction unilatérale particulièrement avantageuse à utiliser est ~=DES(x,a) 0~1 x est un message fixe et a le code secret . on utilise en effet uni nouvelle fois la "puce DES".
Dans une autre variante de l'authentification d'un utilisateur du système, la procédure est conforme aux procédures d'authentification utilisées entre' les autres parties. L'utilisateur dispose d'une carte à mémoire et 20. d'un code fixe ; après reconaaissance interne du code, la carte génère un "jeton" qui est envoyé au système, ce "jeton" étant chiffré et signé par les mies algorithmes 'que ceux utilisés par ailleurs - on implémente à cet effet l'algorithme DES dans le microprocesseur de la carte -. La confidentialité et l'intégrité est parfaite, puisque l'information qui circule entre les parties est parfaitement aléatoire, et ne permet pas de remonter au code ou aux clefs de chiffrement et d'authentification.
Pour s'introduire dans le système, il est alors nécessaire de posséder à la fois la carte et le code.
On~ décrira maintenant, conformément à la figure 3, l'organisation préférée du système conforme à l'invention, et notamment les différents états logiques, ou modes, pouvant caractériser une caissette 1. On déc~'_ra également les transitions entre ces modes, en suivant "l'histoire"
d'une caissette 1 depuis le dép6t des fonds jusau'~ son ouvert~.:re oar le destinataire, après sa livraison.
Sur ls f~.gure 3, les ~~cc'es scnt T~~rtisnnths r~r ries ell.-oses contenant un code ~ deu:c lettres =enr~_seritcnt FE~~I~:L~ DÉ !"~iPLAC'EMENT

chacun le nom d'un mode . Ces modes, définis par la suite, sont respectivement .
- le mode Départ représenté par le code DP, - le mode Trottoir représenté par le code TR, - le mode Socle représenté par le code SC, - le mode Camion représenté par le code C2d, - le mode Depalarm représenté par le code DA, - le mode Connect représenté par le code C0, - le mode Servouv représenté par le code V0, - le mode Selfouv représenté par le code~SO, - le made Ouvert représenté par le code Ov, - le mode Caisse représenté par le code CA, - le mode Coffre représenté par le code CF, - le mode Verse représenté par le code vE, - le mode Ferme représenté par le code FE, - le mode Verrou représenté par le code VR, - le mode Refus représenté par le code RF.
Sur la méme figure, les autres blocs contenant le code CS représentent l'établissement d'une connexion entre la caissette 1 et l'ordinateur superviseur 4.
Considérons donc des fonds, composés de cartes bancaires, de billets de banque et de chèques, que. l'agence centrale d'une banque désire expédier à sa succursale .sïtuée à distance. ' Les fonds se trouvent alors sous la responsabilité du chef de l'agence centrale. Localement se trouve une station 5 du rëseau constituant le système de protection selon l'invention. A cette station 5, appelée station de départ, est connectée une caissette 1 (il peut s'y connecter plusieurs) ne contenant pas forcément de fonds. Dans cette situation, les trois modes possibles pour la caissette 1 sont le mode Ouvert, le mode Caisse, et le mode Coffre.
Dans le mode Ouvert, la caissette 1 est considérée comme étant ouverte, mais son ouverture physiaue, grâce ~
des moyens prévus à cet effet, n'est pas obligatoire ; on peut l'ouvrir et la fermer à la manière d'un simple tiroir, la protection de fonds placés ~ l'intérieur étant alors nulle. îü la caissette 1, ni l'ordinateur 4, ni la st~tien pie décan t n' en scr.t r~_spc.~.sabl es .
FEUILLE DE RE~'~~'LACEME~T

Le mode Caisse est un mode "local", c'est-à-dire que la transition vers ce mode depuis le mode Ouvert est possible sans que l'ordinateur 4 intervienne. Dans ce mode, le chef d' agence confie à la caissette 1 des fonds . Après 5 versement de ces fonds et fermeture, celle-ci ne peut être ouverte qu'au moyen d'une authentification du chef d'agence, c'est-à-dire par exemple au moyen d'un code, secret a dont la caissette 1 et la station de départ ne connaissent que le transformé par une fonction unilatérale 10 telle qui la fonction DES { x, a ) - on notera que le message fixe x gst différent pour la caissette 1 et pour la station -. La responsabilité de la protection des fonds est donc partagée, dans ce mode Caisse, entre le chef d'agence et la.caissette 1 (rappelons que~la station de départ, qui 15 est la borne commune de transmission du réseau, n'est jamais r~sponsa,ble). I1 est à noter que la transition du mode Ouvert au mode Caisse a étendu une première fois le syst8rme : on est passé du système :chef d'agence: au système nchef d'agence/caissette:.
20 Le mode Coffre est un mode "global", c'est-à-dire que la transition du mode Ouvert vers ce mode n'est possible qu'avec Z'auto~isation de l'ordinateur 4 superviseur situé
à distance. Dans ce mode, le chef d'agence confie des fonds ~au système et transmet totalement la responsabilité de leur protectipn. Ap=ès avoir placé les fonds dans une caissette 1, et refermé celle-ci, il donne son code qui est authentifié par la station de départ, et indique au système qu'il désire utiliser la caissette 1 en mode Coffre. La station de départ établit une connexion avec l'ordinateur 4, conformément à un protocole d'authentification mutuelle.
L'ordinateur 4 authentifie alors le chef d'agence. La caisset~e 1 dans laquelle celui-ci veut placer des fonds doit ét~e en état et ne pas être un clone ; celle-ci doit donc s'authentifier mutuellement avec l'ordinateur ~ par l'inter:~éàiaire de la station de départ, qui est un partena:.re fiable de l'ordinateur 4, mais ne peut authentifier directement la caissette 1 pour des raisons expri:~ées plus haut. Toutes les authentifications tant directement ou implicitement effectuées, le systeme, par FEUILLE DE REMPLACEMENT

~E~~ ~ ~'~';~~~ 21 l'intermédiaire de l'ordinateur 4, accepte, d'une part, le transfert de responsabilïté venant du chef d'agence, et d'autre part; tourne la -caissette 1 dans le mode Coffre.
Dans la transition du mode Ouvert au mode Coffre, on est passé du système :chef d'agence: au système :caissette/ordinateur:. Cette transition s'est effectuée progressivement, la responsabilité appartenant au chef d'agence jusqu'à l'accord final de l'ordinateur 4 - il y a eu des élargissements successifs puis un rétrécissement du système -.
La transition du mode Coffre au mode Ouvert s'effectue de maniëre identique, l'ordinateur 4 conservant la responsabilité de la protection des fonds jusqu'â
authentification complète de toutes les parties ; on passe dans ce cas du système :caissette/ordinateur: au système :caissette/ordinateur/sta-tion: puis au système :caissette/ordinateur/station/chef d'agence: et enfin au système :chef d'agence: avec transfert de la responsabilité
dans le mode Ouvert.
Les transitions du mode Ouvert aux modes Caisse ou Coffre peuvent en autre dépendre d'une programmation horaire, transmise par l'ordinateur 4 à la caissette 1 lors de son arrivée à l'agence. Une telle programmation horaire .peut être hebdomadaire et permet notamment d'interdire l'ouverture de la caissette 1 en dehors de certaines heures fixées à l'avance. Suivant une variante de l'invention non représentée, on peut regrouper les modes Caisse et Cof f re en un seul mode', appelé par exemple mode Stockage, auquel on associe deu_Y options d'ouverture - Caisse ou Coffre -, le choix entre ces options étant fait par programmation horaire transmise à un moment donné à la caissette 1 par l'ordinateur 4.
A partir du mode Caisse ou du made Coffre, le chef d'agence peut demander à envoyer des fonds à la succursale.
I1 existe pour ce faire un mode verse, analogue au mode Ouvert, mais qui ne peut pas être suivi du mode Caisse ou du made Coffre. Le mode verse impose que les fonds placés dans une caissette 1 soient transportés. Les transitions du mode Clisse ou du mode Coffr° pers le mode Verse F~~Jt~t~ L'E REM~F'LA~EME(~iT

WO 91/O1a28 PCT/FR90/00538 s'effeçtuent de la méme façon que les transitions de ces modes vers le mode Ouvert, c'est-é-dire qu'elles sont initiées par l'authentification préalable du code du chef d'agence.
Après fermeture d'une caissette 1 se trouvant dans le mode Verse, celle-ci se tourne automatiquement dans le mode Fermé où il est impossible de l'ouvrir sans connexion à
l'ordinateur 4. La transition du mode Verse au mode Fermé
signifie que le système :caissette: a provisoirement acceptë le transfert de responsabilité. Ce made est cependant temporaire car une connexion est établie immédiatement, via la station de départ, avec l'ordinateur 4, afin d'obtenir son accord sur ce versement. En cas de refus (qui peut intervenir par exemple si la station d'arrivée n'existe pas ou plus, ou si la caissette 1 n'est plus en état), la caissette 1 se tourne dans le mode Refus puis dans le mode Ouvert et la procédure d'envoi des fonds est annulée. En cas d'accord de l'ordinateur 4, et après les authentifications mutuelles nécessaires, il y a transition du mode Fermé au mode Verrou, dans lequel le système :caissette/ordinateur: est responsable des fonds.
pans le mode Verrou, la caissette 1 doit ètre nécessairement transportée à la station d'arrivée. pour ~ pouvoir étre réouverte (sauf indication différente de l'ordinateur 4). Le système attend alors le convoyeur 3 de la caissette 1 qui est authentifié, à son arrivée, par vérification d'un code, dont lé transformé par une fonction unilatérale est connue du système ; il est établi une connexion avec l'ordinateur 4 qui seul connait ce code et la fonction unilatérale correspondante (il n'est en effet pas nécessaire que la caissette 1 ou la station le connaisse). I1 est à noter que le mode verrou peut durer tras longtemps . l'ordinateur 4, qui a reçu de la s~ntion les paramètres du transport, ne les a pas encore transmis la caisset~e 1. L'un de ces paramètres est notaT.rrent la durée prévue du transport - conformément au brevet _~~nçais FR-2 a50 36~, des consignes temporelles limitent ~~:z effet la dsrée d'un trajet et conduisent à la destw,:ct_~n d'une caissette 1 en cas de dépassement -.
~'EUiLLE. QE ~~Cllll ~~ ~~~ ~Ç' 2 3 Aprês authentification du convoyeur 3, l'ordinateur 4 donne l'autorisation d'enlévement de la caissette 1 qui se trouve alors dans le mode Départ. La transition du mode Verrou vers ce mode s'accompagne du transfert de la responsabilité du système :caissette/ordinateur: vers le système :caissette:, c'est-à-dire que la caissette 1 assure totalement la protection des fonds à transporter. C'est pourquoi les consignes temporelles de transport sont initiées dès la transition dans ce mode ; la caissette 1 est par conséquent considérée comme mobile, qu'elle soit ou non enlevée physiquement de son socle. En cas de dépassement du temps prévu de livraison, la caissette se considère comme étant agressée et dégrade son contenu par des moyens appropriés..
Après son enlèvement physique, la caissette 1 quitte le mode Départ pour le mode Trottoir. Celui-ci correspond au trajet à pied qu'effectue le convoyeur 3 en portant la caissette 1, entre la station de départ et un véhicule, ou une autre station (si la totalité du trajet s'effectue à
pied). Ce mode est délimité temporellement par une durée prévue à cet effet,.de manière à réduire les risques de détournement lors du trajet ; en cas de dépassément de la durée prévue. du trajet, la caissette,l dégrade son contenu.
Le transport de l'agence centrale de la banque à une succursale s'effectue généralement au moyen d'un véhicule.
A l'intérieur de celui-ci, se trouve un ordinateur de bord, gérant une électronique permettant de contrôler les caissettes 1 à transporter. La connexion physique à cette êlectronique d'une caissette 1 en mode Trottoir provoque la transition de ce mode vers le mode Socle. Le réceptacle physique d'une caissette 1 est le même que celui situé dans une station, et c'est pourquoi la caissette 1 envoie un message d'identification vers l'électronique .
- si elle reconnait une station, elle demande immédiatement une connexion à l'ordinateur 4 sucer-:iseur .
i'_ y a transition vers le mode Connect.
- si elle reconnait l'électronique du bon :~é!iicule, il y a transition vers le mode Camion.
FEtlôLLE T?~ ~''y~'"ç".''°1.~;~''~'~'~LNT

WO 91!01428 PCT/FR90/OOS38 - si elle ne reconnait ni l'un ni l'autre, il y a transition vers le mode Depalarsn.
Dans le mode Depalarm, la caissette 1 se retrouve physiquement dans une situation imprévue et doit étre déconnectée de son réceptacle ; sinon, après un temps déterminé (par exemple 30 secondes), le décompte de la durée du trajet à pied reprend. Néanmoins, la caissette 1 attend d'ètre déconnectée pour repasser logiquement du mode Depalarm au mode Trottoir . de cette façon, le mode Trottoir correspond toujours à la déconnexion physique de la caissette 1.
L,e mode Camion correspond à la suite logique du transport. Dans ce mode, la caissette 1 ne peut être déconnectée sans en étre prévenue ; elle dëgrade en effet son contenu au delà d'un certain intervalle de temps (par exemple 10 secondes) si elle n'a pas été reconnectée. A, l'arrivée du véhicule à la succursale, le convoyeur 3 s'authentifie de nouveau à la caissette '1 par l'intermédiaire de l'ordinateur de bord - le code du convoyeur 3 a été transmis provisoirement à la caissette 1 par l'prdinateur 4 Superviseur au moment de la transition du mode Verrou au mode Départ -. Si la caissette. 1 accepte le code du convoyeur 3, elle passe dans le mode Départ d' où elle pourra passer dans le mode Socle et enf in. dans le-mode Connect).
I1 est important de noter que l'organisation en modes rend réalisable une intervention en cas d'accident du véhicule initial. I1 suffit alors d'envoyer vers le lieu de l'accident un véhicule possédant un code de reconnaissance connu de la caissette l, de déconnecter légalement la caissette 1 du véhicume accidenté, avec le code du convoyeur 3, et de la reconnecter sur le nouveau véhicule -l'orcünateur 4 transfère à cet effet les numéros matricules de deux véhicules à la caissette 1 lors de la transition du mode Verrou au mode Départ -. On peut de cette manière passer plusieurs fois dans les modes Socle, Camion ou Départ lors d'un transport d'une station de départ à une station d'arrivée ; seules les consignes temwcre'_'_es ~'oi~rer.t étre respectées .
'FEi"1LLE D~è ~~~~,'ç~s,A,.~E~a.~E~oIT

La transition du mode Socle vers le mode Connect a lieu si la caissette 1 recannait qu'elle est connectée sur une station. Elle demande alors immédiatement à ètre connectée à l'ordinateur 4 superviseur, ce qui nécessite l'authentification mutuelle préalable de la station et de cet ordinateur 4 ; si cette authentification mutuelle est possible, on sait déjà que la station n'est pas un clone.
L'ordinateur 4 et la caissette 1 s'authentifie ensuite mutuellement. Si la station sur laquelle ést connectée la caissette 1 n'est pas la bonne, il se produit alors une transition du mode Connect au mode Depalarm. Si la station est la station d'arrivée prévue, le système :caissette:
devient le système :caissette/ordi-nateur/station d'arrivée: et on passe du mode Connect au mode Selfouv ou au mode.Servouv.
Le choix entre ces deux modes est effectué par.
l'ordinateur 4 superviseur au moment de l'authentification mutuelle caissette 1/ordinateur 4. Ces modes sont conceptuellement comparables au mode Caisse et au mode Coffre respectivement, mais aboutit toujours au mode Ouvert, déjà décrit, dans lequel la caissette 1 est considérée comme étant ouverte. Dans le mode Selfouv, seule la caissette 1 authentifie le code du chef de la succursale pour pouvoir étre ouverte. Dans le mode Servouv, après authentification de ce code par la caissette 1, celle-ci demande à étre connectée ~ l'ordinateur 4, qui à son tour procède aux authentifications requises.
Dans le mode Ouvert, la caissette 1 peut être vidée de ses fonds, la responsabilité de leur protection étant alors transférée au chef de la succursale.
La caissette 1 peut à nouveau servir soit comme caisse, soit comme coffre, soit pour un autre transport, confor.nément aux procédures décrites ci-dessus.
De nombreuses variantes de cette organisation prézérée du système sont bien entendu envisageables sans sortir du cadre de l'invention, et peuvent combiner dans un ordre quelconque les trois types de modes possibles. La seule condition â respecter pour ce faire est le respec4 des nrecédures d'authentif?cstien, lors des P7Cte11510I15 OL
FEUILLE DE RE~:~~~-A~EIVIENT

WO 91/Oi428 p~/FR~p/ppg3g ~b ~ ~,~ ' 2 6 ~"
des restrictions du systëme, c'est-à-dire lors du transfert de la responsabilité attachée à la protection des fonds.
I1 convient en outre de noter que l'utilisation d'algorithmes de chiffrement des messages échangés entre les parties du système nécessite des supports de liaison fiables à faible taux d'erreurs.
Ceci n'est pas nécessairement le cas, car l'infrastructure à mettre en place serait nécessairement lourde, notamment au niveau des agences et de leurs succursales, oé se trouvent, intégrés aux stations 5, les moyens de télécommunications avec l'ordinateur 4 superviseur . modems couteux, liaisons spécialisées à
faible taux d'erreurs, etc... Or ces agences ne disposent généralement que de lignes téléphoniques courantes à taux d'erreurs élevé (1 information binaire fausse en moyenne pour 10 000 transmises).
On met par conséquent en place un protocole pour la correction des erreurs de transmission entre une borne du système, ou station 5, et l'ordinateur 4 superviseur. Ce protocole fractionne le message à transmettre en blocs de quelques octets à quelques dizaines d'octets. Si un bloc est transmis wec des erreurs, seul ce bloc est retransmis, ce qui permet de ne pas avoir à répéter l' intégralité des messages très longs qui sont échangés (typiquement d'une longueur de 300 octets). L'intégrité d'un bloc est contralée .au moyen d'une signature élaborée avec le contenu du bloc et avec son. entéte - cette entéte comportant essentiellement l'information de longueur du bloc -.
L'algorithme de calcul de cette signature non secrète est avantageusement celui servant au chiffrement et à
l'authentific,ation des messages ; on utilise de cette façon à nouveau la "puce DES", sans avoir à écrire et à stocker, notamment dans la station, un nouvel algorithme.
Après reconstitution du message fractionné
l'émission, et dans le cas oa la partie émettrice est l'ordinateur 4 superviseur, la station 5 authentifie et déchiffre avec ses propres clefs ledit message (gràce à la "puce pES" placée dans la station). Puis elle transmet ~ la caisset~e 1, dont le matricule servant à l'identifier lui FEUILLE DE REMPLACEMENT

apparait maintenant en clair, la partie du message qui lui est destinée ; la caissette 1 authentifie et déchiffre ce message avec ses propres clefs, grâce à la "puce DES"
prévue à cet effet. Elle en confirme alors la réception à
l'ordinateur 4 et prépare à cet effet un message chiffré et authentifié avec ces mêmes clefs ; ce message est transmis à l'ordinateur 4 - complété par le matricule de la caissette 1 - chiffré et authentifié avec les clef s de la station 5. L'ordinateur 4 renvoie alors, selon le méme protocole, un acquit à la caissette 1, qui peut éventuellement changer de mode, mais uniquement à la réception de cet acquit.
Le protocole de télécommunications décrit n'est bien entendu pas limité à la réalisation préférentielle décrite ci-dessus, et on peut par exemple employer les principes d'architecture fonctionnelle popularisés par le modèle d'interconnexion des systèmes ouverts (modèle en couches OSI), ou des dérivés directs de ce modèle.
La présente invention est notamment destinée à la protection de documents ou d'objets de valeur, et notamment de moyens de paiement tels que des billets, des chèques ou des cartes bancaires, ou encore de médicaments dangereux (drogues) ou à forte valeur ajoutée._ Cette protection est assurée aussi bien à l'intérieur d'une agence bancaire (ou d'une officine pharmaceutique, ou autre), que lors du transport de cette agence vers une succursale. La présente invention n'est limitée en outre ni par la taille, ni par le poids des objets ou des documents de valeur que l'on désire protéger, et il est à la portée de l'homme de l'art de procéder à toute modification visant à adapter l' invention à des ob jets ou des documents autres que ceux donnés ici à titre d'exemples non limitatifs.
~~tLLE DE R~MP1,~Ç~~'VtENT 2,550,364, documents or valuables to be protected, called funds later, are locked in a box, whose physical state is controlled through sensors continuously supplying signals, which must conform to signals resulting from a process compulsory and unavoidable, on pain of causing destruction or marking of the box and said funds.
The degradation device used for this purpose can be, for example, that described in patent FR-A-2,574,845 on behalf of the Applicant.
In the case of the transport of valuables, by example of dangerous drugs (drugs, poisons) or high added value, the degradation system is significantly different; those skilled in the art know this rod, the known and specific means to be used.
The object of the aforementioned patents is to render unusable, or destroy, in case of attack, the funds contained in a case and whose fiduciary value imoortanLe is very interior to their real value (which laughed tickets, cards and checks); the coveted by these funds thus becomes ineffective, these being destroyed before we can reach them.
The sensors associated with these systems and which allow in particular to detect physical attacks on the box can be very light in structure, unlike traditional armor; such a sensor of wall integrity is for example described in the patent French the RA-2 615 987 in the name of the Applicant.
A number of drawbacks related to systems of protection offered by these patents remain however without remedy, and bring into play the very reliability of a protection you want perfect, both when the box containing the funds to be protected is mobile, that when it is stationary, and especially during transactions necessarily related to changes in states of the box, such as for example its removal, its delivery, opening or closing.
Indeed, in accordance with patent FR-A-2 550 364, the protectidn of a box is intrinsically linked to the protection of the other boxes that the van carries where they were placed; the boxes are in this case , collectively protected, thanks in particular to the existence of a secret and permanent dia "~ ogue, circulating between them, whose unplanned interruption causes degradation of funds to protect. Such a device poses problems of management of this dialogue difficult to resolve, and the complexity thus implemented leads to solutions expensive, slow or unreliable.
Furthermore, it turns out that protection individual boxes is possible, and the preferable occurrence, since we then benefit from a flexible protection system, allowing for example avoid the destruction of a large set of funds contained in different boxes while only one of them is broken down or assaulted.
~ n out = e, in case of destruction of a box and of the funds that are contained therein, the protection systems decri ts does not: .entent deter: ~ iner people ~ 'EUi ~ .LE DE REI ~ II ~ LACEMEN'T

a ~ 3 responsible for the assault that caused this destruction; indeed, during its destruction, it is desirable, and even necessary, for the box to mark, or destroys not only the funds but also erases all information of a confidential nature and which it needs for its correct functioning.
'algorithms for monitoring its physical states, coding and decoding algorithms for exchanged messages with the outside, nature and content of these messages such that secret codes, destinations and recipients of funds transported.
The destruction of all this information makes impossible to safely identify the last operator of a destroyed box, which may as well be a attacker outside the system, that an officer responsible for handling or transporting the crates wanting embezzle funds for profit, or others persons authorized in various capacities to approach them, or to open them "in fine".
Another major drawback of the system described in the patent FR-A-2 550 364 resides, paradoxically, in the strict inexorability of the governing process . "the history" of a box during its transport. In indeed, any planned nvn event is considered a assault by a box and leads to its destruction;
there is therefore no possibility of gradation in the response provided by the cashier to an unforeseen event.
For example, in the event of traffic congestion through which the van carrying the boxes, the delay in their delivery, induced by this traffic jam, inexorably leads to their destruction, this which can turn out to be a costly economic mistake and drive a client, whose cracks are being transported, challenge the ~ reliability of the system.
Cn cannot immediately rnmédinr ~ ce inconvenient. ~ .ient because the inexorability of certai. ~ .es p'tlases du transpcrt process described in this bre ~. ~ and is imperative vis ~ vis' _a security.
_E ~ IJ ~~. ~ ~ ~~~~~~ ' WO 91/01428 p ~ / FR9p / ppg3g ~, I ~ ~, ~ ~ G 4 It will be clear from the above reading that Use of a single decision center, the box, to manage the complete security of the funds to be protected and;
transport security itself, leads to dead ends essential.
French patent application 86-O1 849 in the name of Applicant, constitutes, as such, an improvement of the FR-A-2,550,364; the boxes are considered as being in a stationary vehicle, and then serve as banking compartments. Their protection is always collective, with the disadvantages previously raised.
but access to the vault where the boxes is controlled from the outside by a computer being able to enter into relation with an electronic box, 15: assigned ~ monitoring of said vault, and also in secret and permanent dialogue with all the boxes. The communication of each of these cai ~ sette ~ with the external computer becomes possible; the latter is then able to generate the inexorable process regulating the "history" of a box and to control its initiation, which takes place after various verifications, including those of secret codes held by persons with valid access to 'cash registers (such as a banker, or a customer).
The system described in this last document has still notable drawbacks, and it is in particular possible '~ to design a pirate computer, called a clone thereafter, and performing the same functions as the original computer; security of locked up funds in the boxes is therefore not fully insured, because no means are provided to allow the boxes to surely recognize the supervising computer, and recidivism.
'We will notice, moreover, on reading the request of the aforementioned patent, that the source of inter: ~ ations communicating process data to various elements set's elective is not necessarily unique, which constitutes a risk vis 3 vis de la confidentiality of this data; redundancy of FIRE ~ LLLE DE R ~ EMl ~ 4A ~ CEMEI ~ T
., ~., a. _ _ .w ..... 4. ~. ~ _ ~ .. ~ _. . ~. .,. . _ ~ t ~~ "'s information, non-existent in patent FR-A-2 550 364, here becomes too important.
The invention aims to decisively improve the different known systems, by proposing a system of protection of documents or valuables, and in particular means of payment such as banknotes, checks, or bank cards, enclosed in at least one physically inviolable container, called a box, which, in case of aggression, causes their degradation by suitable means, this system being characterized in that the operating cycle of a box includes a limited number of logical states, the transition from first logical state to a second logical state being the consequence of a one-off event, the lawfulness by an adequate and autonomous means that can be put in connection with the box, said transition accompanied by memory loss, by the box, from its previous logical state.
One of the objectives of the present invention is thus to match a logical state, called mode, to each situation in which a box, this mode being explicitly delimited by two terminals of a purely conceptual nature, which allows to organize with rigor and reliability the cycle of operation of said box; systems known to this day only knew two terminals imp: Licites, ie "the transition between mobile cash register and fixed box "and vice versa.
The present invention provides the necessary flexibility smarter management of the protection provided by the boxes. But it is therefore essential that each time protection process step, at each transition between two logical states, the box does not keep any trace of its previous logical state; we already know that this trace is useless; we also understand that this trace is dangerous, since it is vital, FOR safety of the system, .that confidential messages such as ccdos cannot be read, if they are not destroyed Fn'.u ~ E. ~~ ~ :. ~ G ~ r ~~ i .. ~ vEw ~ ¿~ ii ~ '~

WO 91/01428 PGT / fR90 / OD538 s ~~ '~~
entirely in case of assault. We will finally understand, thanks to what follows, that this trace cannot exist.
Indeed, this absence of memory from the previous mode is fundamental for system security, since two extreme modes can be linked.
- knows directly thanks to a first event, provided for this purpose, and which causes a transition between these two modes, - either indirectly, by prior transitions in other modes, due to other planned events and allowed.
If the cash register kept the memory of its mode previous, that is to say if we accepted that she could serve, it would then be possible to invalidate a transition previously accepted by the cash register, between a first mode and a second mode; a new event could effect cause a transition from the first mode to a third mode, without, moreover, having been provided to allow a transition from the second mode to this third fashion ; the system would therefore become "unmanageable".
By proposing to organize the operation of a box, in a cycle with a limited number of states logic, or modes, this box also having fear only memory its own mode, ~ the present invention provides a reliable and secure means of defining various cycles of functioning, which correspond to many cases inaccessible to systems known to date, for which only one "story" can exist between the closing and opening a box.
This particular operation of a box, for transitions between logical states existing in number limited, is related to the operation of the machines otherwise known as "fashion machines lawful ".
The rigor of such an organization translates, for the protection system according to the invention, by a additional intell_ç ~ nce somehow "logically inviolable at the boxes and the system in his outfit.
FE ~ J111 ~ ~~ t ~ jt3a ~ l ~ C ~~, ~ '~ NT

..
As such, we can make a real analogy between the system of the invention and the systems developed at present in pattern recognition, and especially in the field of artificial intelligence;
"intelligence" of these systems, that is to say their ability to infer from information sometimes incomplete, results not from information explicitly formulated and stored in memories for example electronic, but of organization, form, organizing the circulation and exchange of information.
"Circulating information" of the system conforms to invention is the responsibility attached to protection funds contained in a box; the transmission effective and controlled of this ~ responsibility is made possible by the machine organization in limited modes of the box and constitutes the main contribution of this system.
This leads to a sharing of the responsibility that is transferred, in a sense or in the other direction, between, on the one hand, the users of boxes, on the other hand, a means that can be put relationship with them, and finally, the boxes.
A box is not fully responsible for the funds who are locked there only during its transport (by known m6yens of which we spoke).
Finally, it should be noted that the responsibility is not transferred at each transition from one mode to another mode, but only when necessary for security of the system.
Other features and advantages of the system according to the invention will emerge more clearly from the description which will follow of a particular nonlimiting realization given as illustrations of this system, with reference au.dess ~ .n attached on which.
- Figure 1 is a block diagram of ~
the network organization of the system according to the invention.
- the f ~ gu ~ e 2 is a diagram representing the concept of trar.siti ~: authenticity ity.
- f = Bure 3 is a logical flow chart of transit passible and scheduled between the ~ 'ÉUILLE DE RE ~ IPLACEMEI1 ~ T

s operation of the system, according to a variant particular of the invention.
According to Figure 1, the following system the invention is used for the protection of funds which have been placed in a box 1 by the manager of a bank agency, hereinafter called sender 2. The boxes 1 must be transported by a conveyor 3 to, for example, a branch of this bank branch.
In one of the preferred variants of the invention, the means that can be put in contact with the boxes to carry out the transfer of responsibility is consisting of a single computer 4.
This computer 4 has a supervisor role and manages the logical security of boxes 1, i.e.
checks ~ the legality of the transitions of certain modes of operation of these towards certain other modes.
During these particular transitions, it occurs an extension, or a narrowing, of the system of protection according to the invention, and we can cite three cases very explicit a) 'during transport, the protection of funds does not can be ensured only by box 1 containing them. the system then only includes box 1.
b) at the end of a transport, at the time of delivery, only a source of information outside the box 1 can cause the mode to be interrupted in which it was placed at the start of its transport, and which is his only memory. The system must then be extended to the external source of information - i.e.
computer 4 - which must, prior to this extension, be recognized) as a reliable and secure partner by box ~ e.
c) after delivery, protection in the zones locked in box 1 is still total, because its opening requires extension of the system to a second source ~ 'external information - user of these bau fund broad. recipient, sender 2, conveyor 3) - which must, in turn, be recognized as a _FEUILI.E DE REi ~ iPi..6 ~ CEMENT

~ i ~, ~ ~ (~. f ~ ~ ~ 9 reliable and secure partner by box 1 and computer 4.
There are thus three types of modes for a box 1 - actually for the whole system, but only box 1 participates in all of the protection since it is what ultimately to suppress the lust of third parties - depending on whether it is considered to be mobile and closed, in accordance with case a), depending on whether it is mobile and closed, in accordance in case b), and finally depending on whether it is stationary and open, in accordance with case c).
The transitions between these three types of modes decadent of the transfer of responsibility attached to 1a protection of funds, whether or not they are enclosed in a box 1 (before shipping, these funds are freely placed by the sender 2 in the box 1, and until confirmation of their assumption by the system, this sender 2 is responsible).
The mobility of the box 1 is therefore a purely logical attribute of the system, which goes beyond its real physical mobility, but of course it covers it without paradox. This considerable advantage of the system is one of the most unexpected consequences of ~ 1 ~ 'machine mode organization' limited to the game physically mobile from it. box 1.
As such, we can compare the system according to the invention to a computer network where a "token", symbolizing the possession of decision-making power, may be exchanged between the terminals of the network; the terminal holding the "token" can also choose to transfer it, this transfer therefore accompanied by the loss or partition of the power. The "token" transferred to the system the invention is made up, it will be understood, by the responsibility attached to the protection of swollen funds, or not, in a box 1.
In addition, an unexpected advantage of the use, according to the invention, from a single computer ~ super-: isant the system is to limit the redundancy of information necessary for the safe management of it, that is to say REPLACEMENT SHEET .. ~~ 'E ~' ~ E ~~

WO 91/01428 PGT / FR90 / 00g38 ~ "~ ~ d ~ b ~~ C ~ 10 their possible transfer. If a second computer from ~ Tait exist - we could for example place a computer at place of departure of a box, and another computer ~
its place of arrival, which is particularly the case for the system described in French patent application 86-O1 849 - it would be imperative to integrate this second computer of a reliable to the system: case / first computer: for let it become a system : case / first computer / second computer:;
reliable integration of the recipient of locked-in funds in box 1 would then become. possible, by through this second computer. Now, the step integration of the second computer is not necessary because it does not provide either simplification (on the contrary), nor additional security, the recipient of funds may be integrated directly by the first computer.
Finally, note that boxes 1 are completely independent of each other and that each system: case / computer / user: must be considered a particular network, leads if the computer 4 supervisor can be the same for all ~ boxes 1. It is therefore good to remember that there is no ~ dïalogue circulating permanently in boxes 1, this which constitutes a notable advantage with respect to the system described in patent FR-A-2,550,364.
According to the invention, there is only one series ad hoc dialogues. During these dialogues, the messages traded ~ must not, however, jeopardize security system; this is why the links established between the parts of which part of the system, their failure being considered an assault.
These connections can have a material support, whose nature is more easily protected, for example by means of shields. We will understand malgr6 everything ç ~ r further that it can be remedied advantageously :. to: c confidentiality issues without recourse, 1 these physical shields.
Sui ~: ant a complementary feature: ta ~~~ of the invention. ~ .t_on, and in accordance with Figure 1, 1 "s çuat = e ; ~ é '~.' ~ I1 box part 1, computer 4, shipper 2, and conveyor 3, can be connected to a single terminal, later called station 5, to form a network in star of which said station 5 is the center.
In this way there is a first station 5 at departure point of a box 1, and another station 5 at its place of arrival. This multiplicity of stations 5 does not in any way affect the security of the system, because, according to a very important characteristic of the invention, the "token", which symbolizes responsibility for the protection of funds, is never transmitted to said stations 5, which therefore only constitute points of passage for confidential information a priori vital to system security.
Using a star network provides many well-known advantages.
In particular, a message exchanged between two parties components of a star network do not pass through other parts like, for example, in a ring: we can so talk about such structural confidentiality network.
In addition, to be able to dialogue, each of the parts of the system has an electronic interface which ~ must manage sometimes complex exchanges.
The use of a station 5, which can connect, in accordance to the invention, all the parts between them, allows advantageously; and unexpectedly, to simplify and to lighten said interfaces.
For example, it is not useful to transport with box 1 of the advanced communication means, requiring heavy electronics. Similarly, the link a user (sender 2, conveyor 3) with the other parts of the system should be kept simple.
Station 5 has all the heavy electronic interfaces, and there remains ~ the box 1 and the user to manage only one basic connection dialog with said staticn 5.
I1 should be noted that the computer ~ little;., Meanwhile, manage more complex exchanges, and that ~ 1 gis :. through REt SHEET ~ '~~' LAKE ~~ = ~ 1'C

WO 91/01428, ~~ ~ ~ PCT / FR90 / 00538 elsewhere advantageous, according to the invention, to make one server center located at a distance from all stations 5, of all users, and of all boxes 1, which effectively protects it, by the same occasion, possible attacks, both logical and physical.
If it is now assumed that the following system the invention presents, in all its features, a potentially confidential functional structure, this confidentiality must be supported by the certainty that the integral parts of the system, or integrated into the system, are what they claim to be.
According to an additional characteristic of the system according to the invention, communications between two parts of the system are carried out according to a protocol allowing the receiving party to authenticate the part that is supposed to have issued it, this authentication possibly accompanied by sending a message of good reception to said transmitting party.
According to the invention, certain authentications are performed in both directions because it is necessary, for example, that a box 1 is sure that ~ the computer 4 is not a clone computer, and vice versa, ~ the computer = 4 be sflr that said box 1 is not a clone chat. we talk about authentication mutual of the parties. Likewise, a station 5, on which is connected a box 1, is authenticated, which prohibits the existence of clone stations.
Note that authentication of the system by a user (sender 2, conveyor 3) of it is implicit ; in this case, only one authenti ~ ication simple of this user, whether by chat 1, computer 4, and possibly passage, by station 5 where said box is connected 1 (this station 5 will not have any means anyway to integrate the user into the system; it is only an additional facility and security aimed at reject, at first sight, an illicit user).
REPLACEMENT SHEET

Thanks to the logical structure of the boxes 1 organized into machines with limited modes, and architecture physical and functional links existing between various parts of the system, this authentication mutual parties can be managed strictly, and provides unexpected flexibility in the management of protection of funds, enclosed or not, in a box 1.
Indeed, we can practically in all circumstances interrupt a phase of protection of funds, without calling it into question; these interruptions, which require system integration a new reliable part (updated on the "circumstance" leading, for example, to diversion transport), and therefore the transition from one type of mode to another type of fashion, obligatorily impose a mutual authentication of the parties. Delays "normal" transport, traffic jams, breakdowns, can finally find a solution other than destruction outright funds in a box 1.
Conventional means of this authentication are numerous, and for the most part computer-related.
We can thus make an exact analogy of principles securing the system according to the invention with the principles securing a memory card; especially, we can consider box 1, which is inviolable physically and logically, as being a true memory card.
The measures to be taken for the security of a box 1, and for transaction security in which it participates, are then well known, and aim at eliminating, on the one hand, threats against confidentiality of messages exchanged between two parties system components, including for example the box, and on the other hand, threats to the integrity of these messages (whether or not their content has been altered).
An initial measure eliminates the threats against confiàentia 1 '_ té consists of c: ...; f freight exchanged messages, REPLACEMENT SHEET ~ EI ~ JIEI ~ iT

and we know to do this in large numbers. processes cryptographic.
According to the invention, it was chosen to use the symmetric type encryption algorithm known as the name of DES (from the English Data Encryption Standard), of which the characteristics are normalized, and that we can consult for example in the publication referenced FIPS
PUB 46 (Federal Information Processing Standards Publication 46). In this algorithm, a couple: box 1 / computer 4: (for example) has a key K; this key K is placed in a memory of box 1 where it is physically protected, while the computer 4 stores, according to the preferred variant of the invention, the K keys shared with all boxes 1.
This variant, not very economical in memory for computer 4, is preferable to the one leading to take a single key for all boxes 1, because it could happen that an attacked box 1 does not destroy not completely the key which is registered there, allowing its recovery, and legal theft of other people's content boxes 1 by constitution of a clone -. Despite the fact that the DES algorithm is a public algorithm; ' only the knowledge of the key K makes it possible to decipher a message 'figured with it; it is therefore a authentication in itself of the message, which can be considered sufficient for the functioning of the system '.. However, scrambling said message on the communication line is not detected. so it turns out better to authenticate the message before you decipher.
A measure to eliminate threats against the integrity of the messages consists in signing these messages;
a signature is sent at the same time as the message, and its verification by the recipient party is used to authenticate the message and its author.
It should be noted that this signature has not nothing to do with the "token" s ~~ mbolisant, following the invention, the transfer of responsibility attached to the protec ~ ion funds hell r. ~ .és or not in a csi ~ seL ~~ i;
USE OF REi ~ t ~ .LACEM "ENT

this "token" is a message like any other, and it is not necessarily transmitted during an authentication (by example it is never transmitted to a station 5, which yet must be authenticated by its partners, 5 directly or indirectly). Signature is proof and taking messages into account is only possible after verification of this evidence.
According to an additional characteristic of the invention, this signature, or proof, is calculated on 10 transaction parameters, i.e. content messages, following an algorithm similar to '' DES encryption algorithm, which provides the advantage notable for simplifying the development of messages exchanged between parts of the system. Encryption keys and 15 authentication are different, which further increases cryptographic security.
Furthermore, it becomes advantageous to integrate into the same electronic circuit, called "DES chip", algorithm, encryption and authentication of messages, and to be able to place such an electronic circuit inside each of the boxes 1. The use of a "DES chip" allows in particular to memorize all the , keys and to proceed more easily, to its destruction in assault cases. In addition, a microprocessor manages all of the electronics of a box 1, and a software implementation of the DES algorithm in this microprocessor would take up far too much space important in memory.
The "DES chip" therefore performs both encryption of the message and the constitution of the signature on it message.
However, it should be noted that the encryption is not a compulsory operation, because knowledge by a third of the content of the messages, for example instructions for changing modes or the parking meters of a transport, does not jeopardize the security of the system;
only 'authentication provided by sian3ture following these messages counts, and it wouldn’t be not possible to: set the electronics of a box with REPLACEMENT LIGHT

. ~, 3 ~ ll ~ i. ~ ~ ~~ ~ 5.
a false unencrypted clear message. The. encryption is a precaution essentially aimed at reassuring users on the privacy capabilities of the system.
Go elsewhere,. some secret codes may transit between two parts of the system; encryption becomes necessary to protect these codes.
The stations 5 also have a "DES chip", physically protected, and containing keys encryption and authentication of messages it transmits to computer 4 supervisor. Note that these keys are different from the keys used by boxes 1. A message for computer 4, from a box 1, est. in this way doubly encrypted and authenticated. by box 1 with a first pair of keys, and by station 5 with a second pair of keys.
According to the preferred variant of the invention, it has been chosen txn symmetric encryption algorithm, that is say an algorithm for which the same key is used by both parties. This algorithm is perfectly suitable for transactions that are established between a. box 1, a station 5 and the supervisor computer 4, since . can be fitted with electronic circuits used for this effect s $ ns no problem. As we said, the key to figure ~ hent is different from the key tightening to elaborate the signature, with practically the same algorithm. That means q ~ le to authenticate all other parties, each part of the system must share with these others a couple of unique keys. In particular, each box 1 must be able to authenticate each of the stations 5 auxa_uelles it connects, each station 5 in front of it authenticate each box 1; the number of keys to memorizing in such conditions becomes' fast p.lét: ~ ori.que and it was chosen, according to a variant preferential of the invention, to proceed indirectly authent_ficativns between in particular boxes 1 and S stations.
~~ REPLACEMENT EU1LLE

According to Figure 2, authentication indirect is possible by transitivity, that is to say that if two parties A and B have authenticated each other, and if part A and part C have also authenticate each other, then parts B and C
authenticate each other through A, since it is a reliable partner of all parties.
According to the preferred variant of the invention, the computer 4 supervisor plays the role of part A, the boxes 1, stations 4, and users playing the role of parts B or C. Only computer 4 knows all the keys. The other parties do not share, only one key with this computer 4.
This considerable advantage has a counterpart which may seem heavy. Indeed, whenever two parts of the system interact, it is necessary that these parties directly connect with computer 4 in order, first of all, to authenticate mutually with him and then make sure the other party is already authenticated. ..
Computer 4 nevertheless becomes, in this case, a mandatory intermediary of transactions, and may . unexpected way, memorize the history. Computer 4 is therefore the unsuspected memory of the system.
System user authentication remains, according to the invention, a special case that should be noted.
In a first variant, each user has a secret code allowing him to access the system.
This coàe is known to the supervisor computer 4, which sometimes transmits to a box 1 when it is finds in a mode where his knowledge is necessary to him.
Station 5 connecting the parts can optionally also know this code, so as not to authorize a user connection to computer 5 without a prior verification. I1 is therefore obvious that this code transits between the parties. However, for not te ..:., ett_ ~ ca Easy reading by a third party, connected to the network ~ .: '- of course, this code can be c :: i _'_' re: - ~ of t = SLEEVE: REPLACEMENT

the its transit through station 5, in particular by means of the algorithm preferentially used in the invention.
Another procedure is to use a function unilateral f to protect this code. A function unilateral f is a function which is very difficult to calculate the inverse (the power function for example).
If a is a code, only b = f (a) is known to station 5 or of box 1; knowledge of b not allowing from retrotwer a, code a is protected. If the user enter the code ç, station 4 or box 1 calculate d = f (ç) and compare d and b; if d = b, then ç is equal surely to a. According to the invention, a unilateral function particularly advantageous to use is ~ = DES (x, a) 0 ~ 1 x is a fixed message and has the secret code. we use in united effect once again the "DES chip".
In another variant of the authentication of a system user, the procedure is in accordance with authentication procedures used among others parts. The user has a memory card and 20. a fixed code; after internal recognition of the code, the card generates a "token" which is sent to the system, "token" being encrypted and signed by the same algorithms 'than those used elsewhere - we implement for this purpose the DES algorithm in the card microprocessor -. The confidentiality and integrity is perfect, since the information that flows between the parties is perfectly random, and cannot be traced back to the code or encryption and authentication keys.
To enter the system, it is then necessary to have both the card and the code.
We will now describe, in accordance with FIG. 3, the preferred organization of the system according to the invention, and in particular the different logical states, or modes, can characterize a box 1. We dec ~ '_ra also the transitions between these modes, following "history"
of a box 1 from the deposit of funds to its open ~.: re oar the recipient, after its delivery.
On f ~ .gure 3, the ~~ cc'es scnt T ~~ rtisnnths r ~ r ries ell.-oses containing a code ~ deu: c letters = enr ~ _seritcnt FE ~~ I ~: L ~ DÉ! "~ IPLAC'EMENT

each the name of a mode. These modes, defined below, are respectively.
- the start mode represented by the DP code, - the sidewalk mode represented by the code TR, - the Base mode represented by the SC code, - the Truck mode represented by the C2d code, - the Depalarm mode represented by the DA code, - Connect mode represented by the code C0, - the Servouv mode represented by the code V0, - the Selfouv mode represented by the code ~ SO, - the Open made represented by the Ov code, - Cash register mode represented by the code CA, - the Safe mode represented by the code CF, - the Verse mode represented by the vE code, - the Close mode represented by the FE code, - the Lock mode represented by the VR code, - the Refusal mode represented by the RF code.
On the same figure, the other blocks containing the CS code represent the establishment of a connection between the box 1 and the supervisor computer 4.
So let's consider funds, composed of cards bank, bank notes and checks, that. the agency central bank wants to ship to its branch .located remotely. '' The funds are then under the responsibility of the head of central agency. Locally there is a station 5 of the network constituting the protection system according to the invention. At this station 5, called the departure station, is connected a box 1 (it can connect to it several) not necessarily containing funds. In this situation, the three possible modes for box 1 are Open mode, Checkout mode, and Safe mode.
In Open mode, box 1 is considered as being open, but its physical opening, thanks ~
means provided for this purpose is not compulsory; we can open and close it like a simple drawer, protection of funds placed ~ inside then being nothing. îü the box 1, neither the computer 4, nor the st ~ tien pie décan tn 'en scr.tr ~ _spc. ~ .sabl es.
RE SHEET ~ '~~' LACEME ~ T

Checkout mode is a "local" mode, that is to say that the transition to this mode from Open mode is possible without the computer 4 intervening. In this mode, the branch manager entrusts the fund 1 with funds. After 5 payment of these funds and closure, this cannot be open only through chef authentication agency, that is to say for example by means of a code, secret a whose box 1 and the departure station do not know that the transformed by a unilateral function 10 such as the function DES {x, a) - note that the message fixed x different gst for box 1 and for station -. The responsibility for the protection of funds is therefore shared, in this Cashier mode, between the branch manager and la.caissette 1 (remember that ~ the departure station, which 15 is the common network transmission terminal, is not never r ~ sponsa, ble). It should be noted that the transition from Open mode to Checkout mode first extended the system: we went from the system: agency head: to nchef agency / cashier system :.
20 The Safe mode is a "global" mode, that is to say that transition from Open mode to this mode is not possible with Z'auto ~ isation of the computer 4 supervisor located remotely. In this mode, the branch manager entrusts funds ~ to the system and hands over full responsibility for their protectipn. After placing the funds in a box 1, and closed this one, it gives its code which is authenticated by the departure station, and indicates to the system he wants to use box 1 in safe mode. The departure station establishes a connection with the computer 4, in accordance with a mutual authentication protocol.
The computer 4 then authenticates the agency manager. The box ~ e 1 in which the latter wants to place funds must be in good condition and not be a clone; this must so authenticate each other with the computer ~ by the inter: ~ éàiaire of the departure station, which is a Partena: .re reliable from computer 4, but cannot directly authenticate box 1 for reasons expri: ~ ées above. All authentications both directly or implicitly performed, the system, by REPLACEMENT SHEET

~ E ~~ ~ ~ '~'; ~~~ 21 through computer 4, accepts, on the one hand, the transfer of responsibility from the agency head, and on the other hand; turns tray 1 in the Safe mode.
In the transition from Open mode to Safe mode, we are past system: agency head: system : case / computer :. This transition has taken place gradually, the responsibility belonging to the chief until the final agreement of computer 4 - there are had successive enlargements then a narrowing of the system -.
The transition from Safe mode to Open mode is carried out in an identical manner, the computer 4 retaining responsibility for the protection of funds up to full authentication of all parties; we pass in this case from the system: box / computer: to the system : cash register / computer / station: then to the system : cash desk / computer / station / branch manager: and finally at system: branch manager: with transfer of responsibility in Open mode.
Transitions from Open mode to Cash register or Another safe may depend on a programming time, transmitted by computer 4 to box 1 when of his arrival at the agency. Such a time schedule .can be weekly and allows in particular to prohibit opening of box 1 outside certain hours fixed in advance. According to a variant of the invention not depicted, we can group the Cashier and Cashier modes in a single mode ', called for example Storage mode, to which we associate two opening options - Checkout or Safe -, the choice between these options being made by programming timetable transmitted at one point to box 1 by computer 4.
From the Cashier mode or the Made Safe, the chef may request to send funds to the branch.
There is a verse mode for this, analogous to the mode Open, but which cannot be followed by Cashier mode or of the Made Safe. The deposit mode requires that the funds placed in a box 1 are transported. The transitions of Clisse mode or Box set mode Verse mode F ~~ Jt ~ t ~ L'E REM ~ F'LA ~ EME (~ iT

WO 91 / O1a28 PCT / FR90 / 00538 are carried out in the same way as the transitions of these modes to Open mode, i.e. they are initiated by prior authentication of the chef's code agency.
After closing a box 1 located in the Verse mode, this automatically turns into the Closed where it is impossible to open it without connection to computer 4. Transition from Verse to Closed mode means that the system: box: temporarily accept the transfer of responsibility. This made is however temporary because a connection is established immediately, via the departure station, with the computer 4, in order to obtain his agreement on this payment. In case of refusal (which can intervene for example if the station or does not exist anymore, or if box 1 is not no longer in condition), box 1 turns into Refusal mode then in Open mode and the procedure for sending funds is canceled. If the computer 4 agrees, and after the necessary mutual authentications there are transition from Closed mode to Lock mode, in which the system: cash register / computer: is responsible for funds.
in Lock mode, box 1 must be necessarily transported to the arrival station. for ~ can be reopened (unless otherwise indicated by computer 4). The system then waits for the conveyor 3 of box 1 which is authenticated, on arrival, by verification of a code, of which the transformed by a function unilateral is known to the system; it is established a connection with computer 4 which alone knows this code and the corresponding unilateral function (it is indeed it is not necessary for box 1 or the station to know). It should be noted that the lock mode can last a very long time. computer 4, which received the session transport parameters, has not yet transmitted them one of these parameters is notaT.rrent the expected duration of transport - in accordance with the French patent FR-2 a50 36 ~, time setpoints limit ~~: z effect the dsrée of a journey and lead to the destw,: ct_ ~ n of a box 1 if exceeded -.
~ 'EUiLLE. QE ~~ Cllll ~~ ~~~ ~ Ç '2 3 After authentication of the conveyor 3, the computer 4 gives authorization to remove box 1 which is is then in Start mode. The transition from mode Lock to this mode is accompanied by the transfer of system responsibility: cash desk / computer: towards system: box:, i.e. box 1 provides fully protecting the funds to be transported. It is why the transport time guidelines are initiated upon transition in this mode; box 1 is therefore considered mobile, whether or not not physically removed from its base. In case of exceeding the expected delivery time, the box will considers to be assaulted and degrades its content by appropriate means ..
After physical removal, box 1 leaves Start mode for sidewalk mode. This one matches to the journey on foot made by the conveyor 3 carrying the box 1, between the departure station and a vehicle, or another station (if the entire journey is at foot). This mode is delimited in time by a duration provided for this purpose, .to reduce the risk of diversion during the journey; in case of exceeding the expected duration. of the journey, the box degrades its content.
Transport from the central bank branch to a branch office is usually done by vehicle.
Inside it is an on-board computer, managing an electronics allowing to control the boxes 1 to transport. The physical connection to this electronics of a box 1 in sidewalk mode causes the transition from this mode to the Base mode. The receptacle physics of a box 1 is the same as that located in station, and this is why box 1 sends a identification message to electronics.
- if it recognizes a station, it asks immediately a connection to the computer 4 suck-: isor.
there is transition to Connect mode.
- if it recognizes the voucher's electronics: ~ é! iicule, there is transition to Truck mode.
FEtlôLLE T? ~ ~ '' Y ~ '"ç".''° 1. ~; ~''~' ~ '~ LNT

WO 91! 01428 PCT / FR90 / OOS38 - if it does not recognize either, there is transition to Depalarsn mode.
In Depalarm mode, box 1 is found physically in an unforeseen situation and must be disconnected from its receptacle; otherwise after a while determined (for example 30 seconds), the countdown of the walking time resumes. However, box 1 waits to be disconnected to logically return to the mode Depalarm in Sidewalk mode. that way the mode Sidewalk always corresponds to the physical disconnection of box 1.
The Truck mode corresponds to the logical continuation of the transport. In this mode, box 1 cannot be disconnected without being notified; it degrades indeed its content beyond a certain time interval (for example example 10 seconds) if it has not been reconnected. AT, the vehicle arrives at the branch, the conveyor 3 authenticates again to the box '1 by on-board computer - the code for conveyor 3 has been provisionally transferred to box 1 by the predator 4 Supervisor at the time of the transition from Lock mode to Start mode -. If the box. 1 accepts the conveyor code 3, it goes into Start mode from where it will be able to enter the Base mode and finally. in Connect mode).
It is important to note that the organization in modes makes intervention in the event of an accident possible initial vehicle. I1 then suffices to send to the place of the accident a vehicle with a recognition code known from box l, to legally disconnect the box 1 of the damaged vehicle, with the code of conveyor 3, and reconnect it to the new vehicle -the computer 4 transfers the numbers for this purpose registration numbers of two vehicles at box 1 during the transition from Lock mode to Start mode -. We can this way switch several times in the Base modes, Truck or Departure during transport from a station departure from an arrival station; only the instructions temwcre '_'_ es ~' oi ~ rer.t be respected.
'FEi "1LLE D ~ è ~~~~,' ç ~ s, A ,. ~ E ~ a. ~ E ~ oIT

The transition from Base mode to Connect mode has place if box 1 recannent that it is connected to a station. She then immediately asks to be connected to computer 4 supervisor, which requires prior mutual authentication of the station and this computer 4; if this mutual authentication is possible, we already know that the station is not a clone.
Computer 4 and box 1 then authenticate mutually. If the station to which the box 1 is not the right one, then there is a transition from Connect mode to Depalarm mode. If the station is the planned arrival station, the system:
becomes the system: cash register / computer / station arrival: and we go from Connect mode to Selfouv mode or in service mode.
The choice between these two modes is made by.
the computer 4 supervisor at the time of authentication mutual fund 1 / computer 4. These modes are conceptually comparable to checkout mode and Chest respectively, but still ends in mode Open, already described, in which box 1 is considered to be open. In Selfouv mode, only Box 1 authenticates the branch manager's code to be able to be opened. In Servouv mode, after authentication of this code by box 1, this one request to be connected ~ computer 4, which in turn performs the required authentications.
In Open mode, box 1 can be emptied of its funds, the responsibility for their protection being then transferred to the branch manager.
Box 1 can again be used either as body, either as a safe or for another transport, in accordance with the procedures described above.
Many variations of this organization of the system are of course conceivable without depart from the scope of the invention, and can combine in a any three types of modes possible. The only condition to respect to do this is the respec4 authentic procedures for the P7Cte11510I15 OL
RE SHEET ~: ~~~ -A ~ EIVIENT

WO 91 / Oi428 p ~ / FR ~ p / ppg3g ~ b ~ ~, ~ '2 6 ~ "
system restrictions, i.e. during transfer of the responsibility attached to the protection of funds.
It should also be noted that the use encryption algorithms for messages exchanged between parts of the system requires connecting brackets reliable with low error rate.
This is not necessarily the case, because the infrastructure to be put in place would necessarily cumbersome, especially at the level of agencies and their branches, where are located, integrated into stations 5, the means of telecommunications with computer 4 supervisor. expensive modems, specialized links to low error rate, etc. However, these agencies do not have generally than regular rate telephone lines high errors (1 binary information false on average per 10,000 transmitted).
We therefore set up a protocol for the correction of transmission errors between a terminal of the system, or station 5, and the computer 4 supervisor. This protocol splits the message to be transmitted into blocks of a few bytes to a few tens of bytes. If a block is transmitted with errors, only this block is retransmitted, which eliminates the need to repeat all of the very long messages that are exchanged (typically of a length of 300 bytes). The integrity of a block is checked by means of a signature elaborated with the content of the block and with sound. header - this header comprising basically the block length information -.
The algorithm for calculating this non-secret signature is advantageously that used for encryption and authentication, ation of messages; we use it this way again the "DES chip", without having to write and store, especially in the station, a new algorithm.
After reconstitution of the split message the transmission, and in the case where the transmitting party is the supervisor computer 4, station 5 authenticates and decrypt the message with its own keys (thanks to the "pES chip" placed in the station). Then she transmits ~ the box ~ e 1, including the identification number used to identify it REPLACEMENT SHEET

now appears in clear, the part of the message which is intended; box 1 authenticates and decrypts this message with its own keys, thanks to the "DES chip"
provided for this purpose. She then confirms receipt of it to computer 4 and prepares for this purpose an encrypted message and authenticated with these same keys; this message is transmitted to computer 4 - completed by the personnel number of the box 1 - encrypted and authenticated with the keys of the station 5. Computer 4 then returns, according to the same protocol, a receipt at box 1, which can possibly change mode, but only when receipt of this receipt.
The described telecommunications protocol is not understood not limited to the preferred embodiment described above, and we can for example use the principles of functional architecture popularized by the model open systems interconnection (layered model OSI), or direct derivatives of this model.
The present invention is particularly intended for the protection of documents or valuables, and in particular means of payment such as tickets, checks or bank cards, or dangerous drugs (drugs) or with high added value._ This protection is insured both inside a bank branch (or a pharmacy, or other), that when transport from this agency to a branch. The current invention is not further limited by size or the weight of valuables or documents that are wants to protect, and it is within the reach of the skilled person to make any modification aimed at adapting the invention to objects or documents other than those given here by way of nonlimiting examples.
~~ tLLE DE R ~ MP1, ~ Ç ~~ 'VtENT

Claims (14)

REVENDICATIONS 1. Système de protection de documents ou d'objets de valeur, et notamment de moyens de paiement, des billets de banque, des chèques, ou des cartes bancaires, enfermés dans au moins un contenant inviolable physiquement, appelé caissette, qui, en cas d'agression, provoque leur dégradation par des moyens de dégradation, ce système étant caractérisé en ce que la caissette est pourvu de moyens de gestion internes fonctionnant à la manière d'une "machine à modes limités" dont le cycle de fonctionnement comporte un nombre restreint d'états logiques, appelés modes, la transition d'un premier mode à un second mode étant la conséquence d'un événement ponctuel dont la licéité est, ou a été
préalablement, vérifié par un moyen autonome pouvant se mettre en relation avec lesdits moyens de gestion internes de la caissette, ladite transition s'accompagnant alors de la perte de mémoire du mode antérieur. 1. System for protecting documents or objects of value, and in particular of means of payment, banknotes, checks, or bank cards, locked in at least one container physically inviolable, called box, which, in the event of aggression, causes their degradation by means of degradation, this system being characterized in that the box is provided with internal management means operating like a "limited mode machine" whose cycle of functioning comprises a limited number of logical states, called modes, the transition from a first mode to a second mode being the consequence of a specific event whose legality is, or has been previously, verified by an autonomous means that can be linked with said internal management means of the box, said transition then accompanied by the loss of memory of the previous mode. 2. Système de protection selon la revendication 1, caractérisé en ce que, durant le transport d'une caissette qui est délimité, d'une part, par la transition d'un mode où ladite caissette est considérée comme étant fixe à un mode où elle est considérée comme étant mobile, et d'autre part, par la transition d'un mode où la caissette est considérée comme étant mobile à un mode où elle est considérée comme étant fixe, les moyens de gestion internes de ladite caissette sont absolument autonomes. 2. Protection system according to claim 1, characterized in that, during the transport of a box which is delimited, on the one hand, by the transition from a mode where said box is considered as being fixed to a mode where it is considered to be mobile, and on the other hand, by the transition from a mode where the box is considered as being mobile to a mode where it is considered to be fixed, the internal management means of said box are absolutely autonomous. 3. Système de protection selon l'une quelconque des revendications 1 ou 2, caractérisé en ce que le moyen pouvant se mettre en relation avec les moyens de gestion internes d'une caissette, pour contrôler la licéité des transitions entre certains modes de fonctionnement desdits moyens de gestion internes, est constitué par un ordinateur unique jouant un rôle de superviseur. 3. Protection system according to any of the claims 1 or 2, characterized in that the means which can be put in relationship with the internal management means of a coffer, to control the lawfulness of transitions between certain operating modes of said means of internal management, consists of a single computer playing a supervisor role. 4. Système de protection selon l'une quelconque des revendications 1, 2 ou 3, caractérisé en ce qu'il peut comporter successivement, totalement, ou en partie seulement, les éléments d'un ensemble constitué par:
- un utilisateur des documents ou des objets de valeur, que ce soit un expéditeur, un destinataire, ou un convoyeur, - une caissette, - un moyen pouvant se mettre en relation avec les moyens de gestion internes de ladite caissette pour contrôler la licéité d'un événement pouvant provoquer un transition d'un mode de fontionnement desdits moyens de gestion internes vers un autre mode, lesdits éléments étant reliés entre eux par l'intermédiaire d'une borne unique, appelée station, de manière à constituer un réseau en étoile dont ladite station est le centre. 4. Protection system according to any of the claims 1, 2 or 3, characterized in that it may comprise successively, totally, or only partially, the elements of a set consisting of:
- a user of documents or valuables, whether it is a sender, a recipient, or a conveyor, - a box, - a means that can relate to the internal management means of said box to control the legality of a event that can cause a transition from an operating mode from said internal management means to another mode, said elements being interconnected via a single terminal, called station, so as to constitute a star network of which the said station is the centre. 5. Système de protection selon la revendication 4, caractérisé en c;e qu'une station est un point de passage pour les informations confidentielles vitales pour la sécurité du système, sans aucun contrôle de la licéité d'un événement pouvant provoquer une transition d'un mode de fonctionnement des moyens de gestion internes d'une caissette vers un autre mode. 5. Protection system according to claim 4, characterized in that a station is a crossing point for confidential information vital to system security, without any control of the legality of an event that can cause a transition from one mode of operation of the internal management means of a box to another mode. 6. Système de protection selon l'une quelconque des revendications 4 ou 5, caractérisé en ce qu'une station est équipée de moyens de communication servant à mettre en relation:

- une caissette et le moyen pouvant se mettre en relation avec les moyens de gestion internes de ladite caissette pour contrôler la licéité d'un événement pouvant provoquer une transition d'un mode de fonctionnement desdits moyens de gestion internes vers un autre mode, - une caissette et un utilisateur des documents ou des objets de valeur contenus dans ladite caissette, que ce soit un expéditeur, un destinataire, ou un convoyeur, - un utilisateur des documents ou des objets de valeur contenus dans une caissette, que ce soit un expéditeur, un destinataire, ou un convoyeur, et le moyen pouvant se mettre en relation avec les moyens de gestion internes de ladite caissette pour contrôler la licéité d'un événement pouvant provoquer une transition d'un mode de fonctionnement desdits moyens de gestion internes vers un autre mode. 6. Protection system according to any of the claims 4 or 5, characterized in that a station is equipped with means of communication used to connect:

- a box and the means that can be connected with the internal management means of said box to control the lawfulness of an event that may cause a transition from one mode of operation of said internal management means to another mode, - a box and a user of the documents or valuables contained in said box, whether a sender, a recipient, or a conveyor, - a user of documents or valuables contained in a box, whether it is a sender, a recipient, or a conveyor, and the means being able to be put in relation with the means internal management of said box to control the legality of a event that can cause a transition of an operating mode of said internal management means to another mode. 7. Système de protection selon l'une quelconque des revendications 1 à 6, caractérisé, d'une part, en ce que toutes les parties du système comportent des moyens d'authentification informatique des messages reçus d'une partie émettrice, intégrée audit système, et d'autre part, en ce que, en cas d'authentification dudit message, lesdits moyens d'authentification sont susceptibles de coopérer avec des moyens de transmission pour provoquer l'envoi, vers ladite partie émettrice, d'un message de bonne réception. 7. Protection system according to any of the claims 1 to 6, characterized, on the one hand, in that all the parts of the system include means of computer authentication of messages received from a sending party, integrated into said system, and from the other hand, in that, in the event of authentication of said message, said means authentication are likely to cooperate with means of transmission to cause the sending, to said sending party, of a good reception message. 8. Système de protection selon la revendication 7, caractrérisé en ce que l'authentification de la partie émettrice d'un message consiste à authentifier le message lui-même, par vérification d'une signature informatique, calculée sur le contenue dudit message au moyen d'un algorithme à clefs, ces clefs étant détenues uniquement par la partie émettrice du message et la partie devant le recevoir. 8. Protection system according to claim 7, characterized in that the authentication of the sending party of a message consists in authenticating the message itself, by verifying a signature computer, calculated on the content of said message by means of a algorithm with keys, these keys being held solely by the party sender of the message and the party to receive it. 9. Système de protection selon l'une quelconque des revendications 7 ou 8, caractérisé en ce que, pour qu'une partie nouvelle soit authentifiée par toutes les parties déjà intégrées audit système, il suffit d'une part, que les moyens d'authentification d'une seule desdites parties, en relation directe avec ladite partie nouvelle, authentifient les messages émis par cette dernière, et, d'autre part, que les moyens d'authentification de ladite partie nouvelle authentifient ou aient authentifié les messages émis par ladite partie intégrée en relation directe avec elle. 9. Protection system according to any of the claims 7 or 8, characterized in that, for a new part to be authenticated by all the parties already integrated into said system, it suffices of one hand, that the means of authentication of only one of the said parties, in direct relationship with said new party, authenticate the messages sent by the latter, and, on the other hand, that the means of authentication of said new party authenticates or has authenticated the messages sent by said integrated part in direct relation with it. 10. Système de protection selon la revendication 9, caractérisé en ce que l'authentification mutuelle d'une caissette et d'une station sur laquelle elle a été connectée est toujours implicite, et nécessite, d'une part l'authentification mutuelle préalable de ladite station au moyen pouvant se mettre en relation avec les moyens de gestion internes de ladite caissette, pour contrôler la licéité d'un événement pouvant provoquer une transition d'un mode de fonctionnement desdits moyens de gestion internes vers un autre mode, d'autre part, l'authentification mutuelle préalable de ladite caissette audit moyen, qui peut alors avantageusement mémoriser toutes les transactions entre les parties, cette configuration du système permettant, par ailleurs, de limiter, dans ladite station et ladite caissette, le nombre de clefs d'authentification à mémoriser. 10. Protection system according to claim 9, characterized in that the mutual authentication of a box and a station on which it was connected is always implied, and need, on the one hand the prior mutual authentication of said station by means of being able to get in touch with the internal management means of the said box, to check the legality of an event that may cause a transition of an operating mode of said internal management means to another mode, on the other hand, the prior mutual authentication of said box to said means, which can then advantageously store all transactions between the parties, this system configuration allowing, moreover, to limit, in said station and said box, the number of authentication keys to store. 11. Système de protection selon la revendication 7, caractérisé en ce que l'authentification d'un utilisateur des documents ou des objets de valeur contenus dans une caissette, que ce soit un expéditeur, un destinataire, ou un convoyeur, s'effectue au moyen d'un code secret, dont seul le transformé, par une fonction unilatérale, est connu de la partie authentifiant cet utilisateur. 11. Protection system according to claim 7, characterized in that the authentication of a user of the documents or valuables contained in a box, whether it is a sender, a addressee, or a conveyor, is carried out by means of a secret code, of which only the transformed, by a one-sided function, is known to the part authenticating this user. 12. Système de protection selon la revendication 7, caratérisé en ce que l'authentification d'un utilisateur des documents ou des objets de valeur contenus dans une caissette, que ce soit un expéditeur, un destinataire, ou un convoyeur, s'effectue au moyen d'un message chiffré et authentifié, qui est généré par une carte à mémoire dont l'utilisation par l'utilisateur nécessite la connaissance d'un code. 12. Protection system according to claim 7, characterized in that the authentication of a user of the documents or valuables contained in a box, whether it is a sender, a addressee, or a conveyor, is carried out by means of an encrypted message and authenticated, which is generated by a smart card whose use by the user requires knowledge of a code. 13. Système de protection selon l'une quelconque des revendications 1 à 12, caractérisé en ce que les messages échangés entre deux parties du système sont chiffrés au moyen d'un algorithme de chiffrement à clefs, qui sont détenues uniquement par ces deux parties, ledit algorithme pouvant avantageusement être, par exemple, une variante de l'algorithme servant à élaborer une signature d'authentification dudit message. 13. Protection system according to any of the claims 1 to 12, characterized in that the messages exchanged between two parts of the system are encrypted using an algorithm encryption to keys, which are held solely by these two parties, said algorithm which can advantageously be, for example, a variant of the algorithm serving to construct an authentication signature of said message. 14. Système de protection selon la revendication 3, caracrérisé en ce que l'ordinateur unique consiste en un autre serveur situé
à distance dont on assure la protection logique et physique. 14. Protection system according to claim 3, characterized in that the single computer consists of another server located remotely, for which logical and physical protection is provided.
CA002064204A 1989-07-17 1990-07-17 System for protecting documents or objects enclosed in a tamper-proof container Expired - Lifetime CA2064204C (en)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
FR8909579A FR2649748B1 (en) 1989-07-17 1989-07-17 SYSTEM FOR PROTECTING DOCUMENTS OR VALUABLE OBJECTS CONTAINED IN A PHYSICALLY INVIOLABLE CONTAINER, WHICH ELSEWHERE PASSED BY A SUCCESSION OF AUTHENTICATED LOGICAL STATES IN RESTRICTED NUMBERS
FR8909579 1989-07-17
PCT/FR1990/000538 WO1991001428A1 (en) 1989-07-17 1990-07-17 System for protecting documents or objects enclosed in a tamper-proof container

Publications (2)

Publication Number Publication Date
CA2064204A1 CA2064204A1 (en) 1991-01-18
CA2064204C true CA2064204C (en) 2001-04-10

Family

ID=9383836

Family Applications (1)

Application Number Title Priority Date Filing Date
CA002064204A Expired - Lifetime CA2064204C (en) 1989-07-17 1990-07-17 System for protecting documents or objects enclosed in a tamper-proof container

Country Status (20)

Country Link
US (1) US5315656A (en)
EP (1) EP0409725B1 (en)
JP (1) JPH05506700A (en)
AT (1) ATE105367T1 (en)
AU (1) AU648510B2 (en)
CA (1) CA2064204C (en)
DD (1) DD296732A5 (en)
DE (1) DE69008634T2 (en)
DK (1) DK0409725T3 (en)
ES (1) ES2056406T3 (en)
FI (1) FI93761C (en)
FR (1) FR2649748B1 (en)
HU (1) HU217539B (en)
MA (1) MA21906A1 (en)
NO (1) NO302259B1 (en)
OA (1) OA09531A (en)
RO (1) RO108889B1 (en)
RU (1) RU2078894C1 (en)
WO (1) WO1991001428A1 (en)
ZA (1) ZA905546B (en)

Families Citing this family (18)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
FR2706058B1 (en) * 1993-06-02 1995-08-11 Schlumberger Ind Sa Device for controlling and controlling differential access to at least two compartments inside an enclosure.
DE69704684T2 (en) * 1996-02-23 2004-07-15 Fuji Xerox Co., Ltd. Device and method for authenticating a user's access rights to resources according to the challenge-response principle
FR2751111B1 (en) 1996-07-10 1998-10-09 Axytrans SYSTEM FOR SECURE TRANSPORT OF OBJECTS IN TAMPER-PROOF CONTAINERS OF WHICH AT LEAST ONE DESTINATION STATION IS MOBILE AND TRANSPORTABLE
JP3541607B2 (en) * 1997-03-11 2004-07-14 株式会社日立製作所 Electronic money transaction device
JP2000113085A (en) * 1998-10-08 2000-04-21 Sony Corp Electronic cash system
US6275151B1 (en) * 2000-01-11 2001-08-14 Lucent Technologies Inc. Cognitive intelligence carrying case
US20010054025A1 (en) * 2000-06-19 2001-12-20 Adams William M. Method of securely delivering a package
AU2001291636A1 (en) * 2000-09-26 2002-04-08 Sagem Denmark A/S A box for encapsulating an electronic device, and a method for gluing a circuit board onto the inner surface of a box
DE10123383A1 (en) 2001-05-14 2003-01-16 Giesecke & Devrient Gmbh Method and device for opening and closing a cassette
US20050155876A1 (en) * 2003-12-15 2005-07-21 Tamar Shay Method and device for organizing, storing, transporting and retrieving paperwork and documents associated with the paperwork-generating introduction of a new family member
KR100527169B1 (en) * 2003-12-31 2005-11-09 엘지엔시스(주) An open/close apparatus of media casstte for media dispenser
FR2869939B1 (en) * 2004-05-06 2006-06-23 Axytrans Sa SECURE SYSTEM FOR TRANSPORTING OR RETAINING VALUES SUCH AS BANKNOTES
US7757301B2 (en) * 2004-12-21 2010-07-13 Seagate Technology Llc Security hardened disc drive
EP1843000B1 (en) * 2006-04-03 2018-10-31 Peter Villiger Safety system with ad-hoc networking of individual components
DE102007022460A1 (en) 2007-05-09 2008-11-13 Horatio Gmbh Object e.g. driving license, possession verification method, involves generating certificate, if necessary with ascertained integrity, where certificate is transferred to distant verification instance over telecommunication devices
DE102008045607A1 (en) * 2008-09-03 2010-03-04 Wincor Nixdorf International Gmbh Arrangement and method for storing at least one note of value
US8836509B2 (en) * 2009-04-09 2014-09-16 Direct Payment Solutions Limited Security device
WO2016137573A1 (en) 2015-02-25 2016-09-01 Private Machines Inc. Anti-tamper system

Family Cites Families (14)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US4236463A (en) * 1979-05-14 1980-12-02 Westcott Randy L Tamper proof case for the protection of sensitive papers
SE417023B (en) * 1979-11-29 1981-02-16 Leif Lundblad PLANT FOR SECURES AND ECONOMIC OPTIMAL MANAGEMENT OF VALUE DOCUMENTS WITHIN A MONEY DEVICE
FR2550364B1 (en) * 1983-08-05 1986-03-21 Kompex SECURITY SYSTEM FOR TRANSFERRING FUNDS OR BANKING EFFECTS
DE3400526A1 (en) * 1984-01-10 1985-10-24 Peter 7212 Deißlingen Pfeffer Device for monitoring bundles of banknotes
US4691355A (en) * 1984-11-09 1987-09-01 Pirmasafe, Inc. Interactive security control system for computer communications and the like
FR2574845B1 (en) * 1984-12-14 1987-07-31 Axytel Sarl METHOD OF MARKING AND / OR DESTRUCTION IN PARTICULAR OF VALUE DOCUMENTS AND DEVICE FOR IMPLEMENTING IT
GB2182467B (en) * 1985-10-30 1989-10-18 Ncr Co Security device for stored sensitive data
FR2594169B1 (en) * 1986-02-11 1990-02-23 Axytel Sa PROTECTION SYSTEM FOR VALUABLE PRODUCTS, IN PARTICULAR FUNDS AND / OR BANKING PRODUCTS.
US4860351A (en) * 1986-11-05 1989-08-22 Ibm Corporation Tamper-resistant packaging for protection of information stored in electronic circuitry
NL8700165A (en) * 1987-01-23 1988-08-16 Seculock B V I O CHECKS AND CREDIT CARDS STORAGE DEVICE WITH BUILT-IN DESTRUCTION SYSTEM.
FR2615987B1 (en) * 1987-05-27 1994-04-01 Axytel DEVICE FOR CONTROLLING THE INTEGRITY OF ANY WALL, METALLIC OR NOT, FOR AUTOMATICALLY TAKING ACTION IN THE EVENT OF AN AGGRESSION MADE AGAINST THIS WALL
SE455653B (en) * 1987-08-11 1988-07-25 Inter Innovation Ab PLANT FOR SECURE TRANSMISSION OF ATMINSTONE VALUE OF SECURITIES FROM A MULTIPLE EXTENSION OF DISTRIBUTED TEMINALS TO A CENTRALLY LOCATED MONEY DEVICE
JP2609473B2 (en) * 1989-10-23 1997-05-14 シャープ株式会社 Communication device
WO1991017681A1 (en) * 1990-05-11 1991-11-28 Gte Sylvania N.V. Apparatus for destroying the contents of a closed and preferably portable safety container upon any abusive handling thereof

Also Published As

Publication number Publication date
AU6052990A (en) 1991-02-22
FI93761B (en) 1995-02-15
ES2056406T3 (en) 1994-10-01
WO1991001428A1 (en) 1991-02-07
RO108889B1 (en) 1994-09-30
EP0409725B1 (en) 1994-05-04
ATE105367T1 (en) 1994-05-15
CA2064204A1 (en) 1991-01-18
AU648510B2 (en) 1994-04-28
EP0409725A1 (en) 1991-01-23
MA21906A1 (en) 1991-04-01
HU9200168D0 (en) 1992-09-28
FI920187A0 (en) 1992-01-16
NO302259B1 (en) 1998-02-09
OA09531A (en) 1992-11-15
RU2078894C1 (en) 1997-05-10
DK0409725T3 (en) 1994-09-19
JPH05506700A (en) 1993-09-30
DE69008634D1 (en) 1994-06-09
FR2649748B1 (en) 1991-10-11
NO920194L (en) 1992-03-10
ZA905546B (en) 1991-04-24
HU217539B (en) 2000-02-28
FI93761C (en) 1995-05-26
US5315656A (en) 1994-05-24
DE69008634T2 (en) 1994-12-01
FR2649748A1 (en) 1991-01-18
DD296732A5 (en) 1991-12-12
NO920194D0 (en) 1992-01-15
HUT62063A (en) 1993-03-29

Similar Documents

Publication Publication Date Title
CA2064204C (en) System for protecting documents or objects enclosed in a tamper-proof container
EP2720199B1 (en) Secured method for controlling the opening of locking devices by means of messages using symmetric encryption
WO2007048749A1 (en) Method for controlling a lock locking state and a lock
FR2718091A1 (en) Anti-theft device applying an electronic authorization code for vehicle use.
FR2597142A1 (en) CRYPTOGRAPHIC ELECTRONIC LOCK SYSTEM AND METHOD OF OPERATION
WO1999018546A1 (en) Authenticating system with microcircuit card
EP0973318A1 (en) Process for remote paying, by means of a mobile radio telephone, the acquisition of a good and/or a service, and corresponding system and mobile radio telephone
FR2979726A1 (en) Electronic lock for safe utilized for selling e.g. goods, has keyboard actuated by operator, and smart card connected to reader by utilizing modem that is in communication with central server
EP0891611B1 (en) Function access control system with encryption using a plurality of dynamic variables
EP0960406B1 (en) System for securely transporting objects in a tamper-proof container, wherein at least one recipient station is mobile and portable
WO2002052389A2 (en) Anti-cloning method
WO1999049647A1 (en) Mobile telephone system with prepaid card
EP0447386A2 (en) Security system for computer system
FR2932296A1 (en) METHODS AND DEVICE FOR ELECTRONIC ENTITIES FOR THE EXCHANGE AND USE OF RIGHTS
EP4254286B1 (en) System for conveying objects contained in boxes on which destination identification means are provided
FR2566155A1 (en) METHOD AND SYSTEM FOR ENCRYPTING AND DESCRIBING INFORMATION TRANSMITTED BETWEEN A TRANSCEIVER DEVICE AND A RECEIVER DEVICE
FR2651058A1 (en) SYSTEM AND METHOD FOR CONTROLLING THE COLLECTION OF PREPAID TERMINALS
FR2773405A1 (en) METHOD AND SYSTEM FOR CONTROLLING ACCESS TO A RESOURCE LIMITED TO CERTAIN TIME RANGES
FR2789203A1 (en) METHOD AND SYSTEM FOR CONTROLLING ACCESS TO A RESOURCE LIMITED TO CERTAIN TIMED RANGES, THE ACCESSING AND ACCESSED RESOURCES HAVING NO REAL-TIME CLOCK
FR2678124A1 (en) METHOD FOR TRANSMITTING DOCUMENTS THROUGH AN ELECTRIC SIGNAL TRANSMISSION LINE AND SYSTEM FOR CARRYING OUT SAID METHOD.
FR2796742A1 (en) Security data exchange supports and system for payments and tele-payments
FR2774834A1 (en) METHOD FOR SECURE TRANSMISSION OF DATA MESSAGES BETWEEN TWO USERS OF TWO RESPECTIVE TRANSMISSION EQUIPMENT CONNECTED BY A DATA TRANSMISSION NETWORK
FR2747815A1 (en) Control system for access to services
FR2595523A1 (en) METHOD AND INSTALLATION OF DATA TRANSMISSION

Legal Events

Date Code Title Description
EEER Examination request
MKLA Lapsed
MKEC Expiry (correction)

Effective date: 20121202